Cerca nel blog

2016/11/25

Allerta per immagini infette su Facebook e LinkedIn: bloccano Windows e chiedono riscatto

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/12/12 17:35.

Oltre alla preoccupazione per il video che paralizza gli iPhone (ma che è innocuo a parte il disagio del riavvio) circola un allarme molto fondato a proposito un’immagine in grado di infettare alcuni tipi di computer anche attraverso Facebook e LinkedIn, che di solito sono ambienti abbastanza sicuri (almeno a livello informatico).

La società di sicurezza informatica Checkpoint segnala infatti che vengono diffuse su Facebook e LinkedIn immagini che trasmettono il ransomware Locky. La trappola funziona così: l’aggressore manda alla vittima un’immagine qualsiasi in formato JPG sotto forma di allegato, usando per esempio Facebook Messenger; la vittima clicca sul link all’allegato per vedere l’immagine e il suo computer chiede di salvare l’immagine stessa, che però viene registrata sul computer della vittima con l’estensione .HTA invece di .JPG. Questa estensione modificata è la chiave della trappola, perché trasforma l’immagine in istruzioni eseguibili.

Se la vittima usa Windows e fa doppio clic sull’immagine scaricata, partono appunto le istruzioni che attivano Locky, e il danno è fatto: i dati della vittima vengono bloccati da un codice complicatissimo che l’aggressore rilascerà alla vittima solo dietro pagamento di un riscatto.

Checkpoint ha pubblicato un video che mostra l’attacco all’opera:



L’attacco è particolarmente pericoloso perché Facebook e LinkedIn sono considerati siti sicuri non solo dagli utenti ma anche dalla maggior parte dei software di sicurezza, che quindi abbassano le proprie difese. Ora spetta a questi siti correggere la vulnerabilità; nel frattempo chi usa Windows farebbe bene a non fidarsi di immagini ricevute tramite Facebook e LinkedIn da sconosciuti.

7 commenti:

JerrySpinelli ha detto...

Questo significa che Facebook non implementa un meccanismo di verifica dell'estensione del file server-side? Oppure che il file infettato sfrutta una qualche falla per "apparire" a Facebook come un normale .jpg?
Com'è altrimenti possibile che un file .jpg venga salvato effettivamente con una estensione diversa?

Scatola Grande ha detto...

Ipotesi sul funzionamento.
Il file è composto da 2 parti, l'immagine jpg e il file HTA. Quando l'estensione è jpg i programmi aprono l'immagine e ignorano il resto.
Quando l'estensione è HTA il programmino viene eseguito, su Windows solamente credo, e per come è stato ideato il sistema può scrivere nel registro.

Questo trucco è stato usato precedentemente per far firmare elettronicamente dei documenti con l'inganno giocando con l'estensione DOC e PDF.

JerrySpinelli ha detto...

Ok, mi sembra plausibile.
Però in questo caso come avviene il cambio di estensione da .jpg a .hta?

Scatola Grande ha detto...

Mi son guardato il video, vedo che viene caricato un file jpg ma che quando lo si scarica è un hta. Non sono riuscito a capire dove sia avvenuto il cambiamento.

AmiC ha detto...

Vabè, l'attaccante invia un file con l'header e l'estensione di un'immagine, la vittima deve salvare il file con estensione .HTA, ed avviare un file con l'icona di un eseguibile...
Insomma, ci vuole un po' di impegno per cascarci. Ciò detto, facebook è pieno di gente che si impegna.

Turz ha detto...

Mai accettare caramelle... ehm, immagini, da sconosciuti.

Segnalo un refuso nel titolo: hai scritto "Linked" invece di "LinkedIn".

Paolo Attivissimo ha detto...

Turz,

ho corretto l'errore, grazie.