{"id":14169,"date":"2017-09-04T18:13:37","date_gmt":"2017-09-04T16:13:37","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=14169"},"modified":"2017-11-13T17:03:40","modified_gmt":"2017-11-13T15:03:40","slug":"facebook-messenger-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/facebook-messenger-malware\/14169\/","title":{"rendered":"Estesa campagna malware su Facebook Messenger"},"content":{"rendered":"<p>Qualche tempo fa David Jacoby, esperto antivirus del nostro Global Research and Analysis Team, ha scoperto un malware operativo su diverse piattaforme capace di diffondersi attraverso Facebook Messenger. Qualche anno fa si vedevano spesso queste epidemie di malware, tuttavia negli ultimi tempi Facebook si stava impegnando molto per prevenire attacchi di questo tipo.<\/p>\n<p><a href=\"https:\/\/www.kaspersky.it\/downloads\/thank-you\/internet-security-free-trial?%26redef=1&amp;reseller=it_kdailyitapics_acq_ona_smm__onl_b2c__lnk_______\"><img loading=\"lazy\" decoding=\"async\" class=\"alignleft wp-image-14170 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2017\/09\/04180101\/facebook-messenger-malware-featured-1024x673.jpg\" alt=\"\" width=\"1024\" height=\"673\"><\/a><\/p>\n<p>Innanzitutto \u00e8 stato pubblicato un <a href=\"https:\/\/securelist.com\/new-multi-platform-malwareadware-spreading-via-facebook-messenger\/81590\/\" target=\"_blank\" rel=\"noopener\">report preliminare<\/a>. Ai tempi, Jacoby non era ancora riuscito a trovare il tempo necessario per approfondire la ricerca e scoprire in che modo operava il malware, ma ora ha raccolto dati sufficienti e <a href=\"https:\/\/securelist.com\/dissecting-the-chrome-extension-facebook-malware\/81716\/\" target=\"_blank\" rel=\"noopener\">possiamo condividerli con voi<\/a>. Dal punto di vista dell\u2019utente, l\u2019infezione avveniva nel seguente modo.<\/p>\n<ul>\n<li>L\u2019utente riceveva un messaggio su Facebook Messenger da un amico. Il messaggio comprendeva la parola \u201cvideo\u201d, il nome del mittente, un\u2019emoticon e un link accorciato. Pi\u00f9 o meno l\u2019aspetto del messaggio era questo:<\/li>\n<\/ul>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-full aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/09\/04071859\/malicious-link-screenshot.png\" width=\"261\" height=\"334\"><\/p>\n<ul>\n<li>Il link reindirizzaca a Google Drive, e l\u2019utente si trovava di fronte a una sorta di riproduttore video con una foto del mittente sullo sfondo e una specie di tasto per avviare il video;<\/li>\n<li>Se la vittima cliccava sul \u201cvideo\u201d utilizzando Google Chrome, veniva reindirizzata a una pagina molto simile a YouTube dove si consigliava l\u2019installazione dell\u2019estensione per Chrome;<\/li>\n<li>Se l\u2019utente acconsentiva all\u2019installazione, l\u2019estensione iniziava a inviare link dannosi ai suoi amici, ripetendo lo stesso meccanismo e algoritmo in una reazione a catena;<\/li>\n<li>Agli utenti che utilizzavano altri browser veniva costantemente raccomandato di aggiornare Adobe Flash Player invece d\u2019installare l\u2019estensione. I file installati erano in realt\u00e0 degli adware, che i cybercriminale utilizzavano gli annunci per i propri guadagni.<\/li>\n<\/ul>\n<p>Jacoby e Frans Rosen (ricercatore che sta lavorando al progetto \u201c<a href=\"https:\/\/www.kaspersky.it\/blog\/hunting-bugs-for-humanity\/10220\/\" target=\"_blank\" rel=\"noopener\">Hunting bugs for humanity<\/a>\u201c), hanno analizzato insieme questa campagna malware e sono riusciti a capire come funzionasse esattamente.<\/p>\n<p>La pagina a cui venivano reindirizzati gli utenti dopo aver seguito il link inviato attraverso Facebook Messenger non era altro che un file PDF caricato su Google Drive, del quale si apriva l\u2019anteprima. Il file conteneva una foto presa dalla pagina Facebook di un utente, la cui identit\u00e0 veniva sfruttata per diffondere il malware, un\u2019icona sulla foto che esortava a cliccare su play e il link che la vittima apriva cliccando sull\u2019icona.<\/p>\n<div style=\"width: 1034px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/09\/04071901\/google-drive-pdf-1024x567.jpeg\" alt=\"\" width=\"1024\" height=\"567\"><p class=\"wp-caption-text\">Cliccando sul link, gli amici della vittima venivano reindirizzati su questa pagina<\/p><\/div>\n<p>Il link reindirizzava pi\u00f9 volte ad altre pagine e la vittima arrivava \u00a0a uno dei vari siti decisi dai cybercriminali. Le vittime che utilizzavano browser diversi da Google Chrome alla fine venivano reindirizzati su un sito dove scaricavano un adware camuffato da aggiornamento di Adobe Flash Player.<\/p>\n<div style=\"width: 890px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/09\/04071900\/flash-player-update-screenshot.jpg\" alt=\"\" width=\"880\" height=\"470\"><p class=\"wp-caption-text\">I browsers diversi da Google Chrome proponevano il download di un adware sotto le mentite spoglie di un aggiornamento di Adobe Flash Player<\/p><\/div>\n<p>Nel caso si utilizzasse Google Chrome, si trattava solo dell\u2019inizio. Se la vittima acconsentiva a installare l\u2019estensione proposta, il malware iniziava a monitorare i siti visitati dall\u2019utente e, non appena l\u2019utente visitava il proprio profilo Facebook, l\u2019estensione rubava le credenziali d\u2019accesso e il <a href=\"https:\/\/developers.facebook.com\/docs\/facebook-login\/access-tokens\/\" target=\"_blank\" rel=\"noopener nofollow\">token d\u2019accesso<\/a> per inviarli ai server dei cybercriminali.<\/p>\n<div style=\"width: 1325px\" class=\"wp-caption alignleft\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/09\/04071902\/fake-youtube-screenshot.jpeg\" alt=\"\" width=\"1315\" height=\"677\"><p class=\"wp-caption-text\">Falsa pagina YouTube che proponeva l\u2019installazione delle estesioni per Google Chrome.<\/p><\/div>\n<p>I malfattori avevano scoperto un bug molto interessante su Facebook. Sembrava, infatti, che il poco sicuro linguaggio FQL (Facebook Query Language), <a href=\"https:\/\/developers.facebook.com\/docs\/reference\/fql\/\" target=\"_blank\" rel=\"noopener nofollow\">disattivato un anno fa<\/a>, non fosse stato eliminato completamente. Era s\u00ec stato bloccato per le applicazione ma con alcune piccole eccezioni. Ad esempio l\u2019amministratore di pagine Facebook, applicazione per Mac OS, utilizza ancora l\u2019FQL e, per accedere alla funzionalit\u00e0 \u201cbloccata\u201d, il malware non doveva fare altro che agire facendo le veci dell\u2019applicazione.<\/p>\n<p>Dopo aver rubato le credenziali di accesso ed essere riusciti ad accedere alla funzionalit\u00e0 ormai obsoleta, i cybercriminali potevano ottenere l\u2019elenco dei contatti della vittima, eliminare quelli non online e selezionare a caso 50 possibili nuove vittime. E partiva lo stesso schema: un nuovo link a Google Drive con l\u2019anteprima di un PDF di una foto della persona che mandava il messaggio etc. E la truffa continuava all\u2019infinito.<\/p>\n<p>Vale la pena sottolineare anche che lo script del malware metteva \u201cMi piace\u201d su una pagina Facebook, dove si pensa venissero raccolti i dati riguardanti l\u2019infezione. Durante il periodo in cui \u00e8 stato perpetrato l\u2019attacco, Jacoby e Rosen hanno notato che la pagine Facebook in questione sono cambiate varie volte, probabilmente Facebook ha chiuso le precedenti. A giudicare dal numero di \u201cMi piace\u201d, le vittime sono state migliaia.<\/p>\n<div style=\"width: 1034px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/09\/04071903\/beautiful-videos-screenshot-1024x343.png\" alt=\"\" width=\"1024\" height=\"343\"><p class=\"wp-caption-text\">Una delle pagine su cui gli utenti infetti mettevano il proprio \u201cMi piace\u201d senza saperlo<\/p><\/div>\n<p>Dall\u2019analisi del codice si \u00e8 potuto evincere che i cybercriminali all\u2019inizio volessero utilizzare messaggi tradotti nelle varie lingue, ma hanno poi optato per un\u2019opzione pi\u00f9 semplice e immediata, ovvero il video. Il <a href=\"https:\/\/cdn.securelist.com\/files\/2017\/08\/170831-facebook-malware-17.png\">codice preposto per la localizzazione dei messaggi<\/a> ha dimostrato che i malfattori erano interessati ad alcuni paesi in particolare, ovvero Turchia, Italia, Germania, Portogallo, Francia (e Canada, paese francofono), Polonia, Grecia, Svezia e tutti i paesi con utenti anglofoni.<\/p>\n<p>Grazie allo sforzo congiunto di numerose aziende, \u00e8 stato possibile frenare l\u2019infezione per il momento. Tuttavia, quello che \u00e8 successo ci ricorda che le estensioni per i browser non sono cos\u00ec innocue come potrebbe sembrare. Per essere al sicuro ed evitare di diventare vittime di campagne malware di questo genere, vi consigliamo d\u2019installare solo estensioni assolutamente affidabili, di cui siate sicuri che non rubino dati o seguano la vostra attivit\u00e0 online.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-difenditi-attacchi-informatici\">\n<p>Ovviamente evitate anche di cliccare su qualsiasi link, anche se si tratta di link di persone che conoscete e di cui vi fidate. Meglio accertarsi prima che dall\u2019altra parte ci sia davvero la persona in questione e non un cybercriminale che si \u00e8 impossessato dell\u2019account del vostro amico.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Estesa campagna malware perpetrata su Facebook Messenger, ecco come \u00e8 andata. <\/p>\n","protected":false},"author":421,"featured_media":14170,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[31,2549,80,22,95],"class_list":{"0":"post-14169","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-facebook","9":"tag-facebook-messenger","10":"tag-google-chrome","11":"tag-malware-2","12":"tag-ricerca"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/facebook-messenger-malware\/14169\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/facebook-messenger-malware\/11170\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/facebook-messenger-malware\/9241\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/facebook-messenger-malware\/4976\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/facebook-messenger-malware\/12546\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/facebook-messenger-malware\/11744\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/facebook-messenger-malware\/11224\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/facebook-messenger-malware\/14287\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/facebook-messenger-malware\/18565\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/facebook-messenger-malware\/3702\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/facebook-messenger-malware\/18412\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/facebook-messenger-malware\/9451\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/facebook-messenger-malware\/7317\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/facebook-messenger-malware\/14547\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/facebook-messenger-malware\/8392\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/facebook-messenger-malware\/17753\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/facebook-messenger-malware\/17810\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/facebook-messenger-malware\/17791\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/facebook\/","name":"facebook"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/14169","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=14169"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/14169\/revisions"}],"predecessor-version":[{"id":14189,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/14169\/revisions\/14189"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/14170"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=14169"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=14169"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=14169"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}