Nell'ultimo periodo è stato scoperto un nuovo metodo di "targeted attack" (attacco mirato) in cui la funzione di anteprima del noto motore di ricerca Google Images viene utilizzata per indurre l'utente a scaricare e comprare un falso software Anti Virus.
Un falso AV è un'applicazione che, mascherandosi come un prodotto sicuro, induce le vittime a credere di aver scoperto infezioni nelle loro macchine. Provoca panico e preoccupazione all'utente utilizzatore del computer infetto portandolo a fare ciò che ogni programma fraudolento vuole: rubare i dati sensibili come numeri di carta di credito.
Il falso software cerca così di convincere l'ignaro utente all'acquisto di una licenza e quindi al pagamento per risolvere gli inesistenti problemi di infezione riscontrati.
Un esempio di falso antivirus, di cui sotto vediamo l'accattivante interfaccia, è il famigerato
FraudTool.Win32.WinRecovery.C di cui il Centro Ricerche si è occupato di analizzare e successivamente neutralizzare nei mesi scorsi.
Consulta la news su Windows Recovery...L'interfaccia del fraudtool Windows Recovery
I Virus Writer per diffondere i loro falsi AV sfruttano allora il nuovo tipo di "targeted attack" su Google Images.
Vediamo un po' in dettaglio come funziona il metodo:
- Dopo che l'utente ha inserito la sua parola chiave da ricercare e clicca sul bottone "cerca" di Google Images, il motore di ricerca mostrerà tutti i risultati trovati.
- Se si clicca sopra l'immagine scelta Google mostrerà al centro l'immagine originale e, sullo sfondo, l'anteprima della pagina web dove l'immagine è caricata.
- E fin qui è tutto normale, ma cliccando sopra un'immagine di un link corrotto il server fraudolento analizzerà l'URL di riferimento nell'intestazione e la parola chiave della ricerca.
- Se l'URL di riferimento e la parola chiave non sono stati inviduati il server mostrerà la pagina di download oppure direttamente una schermata della falsa applicazione AV. Si avvierà così una finta scansione del PC con il rilevamento di virus e malware.
- A conclusione comparirà la finestra per effettuare l'acquisto di una licenza con l'inserimento di dati anagrafici e numeri di carta di credito.
Come è noto tipologie di siti a sfondo pornografico, oppure quelli che rendono disponibile il download di programmi crackati, musica e film gratis, possono nascondere virus, malware e fraudtool, che si spacciano per falsi antivirus.
Negli ultimi tempi il C.R.A.M (Centro Ricerca Anti-Malware della TG Soft) ha riscontrato, con sempre maggiore frequenza, la diffusione di fraudtool sottoforma di falsi antivirus anche da link collegati ad immagini apparentemente "sicure" trovate ad esempio sul motore di ricerca Google Images.
Vista questa nuova modalità con la quale si può venire a contatto con questi nuovi agenti infettivi riteniamo utile e opportuno elencare alcune semplici regole di comportamento per evitare questi spiacevoli incontri:
- Segnalato in via preventiva che, una volta effettuata la ricerca di immagini usando il motore di ricerca Google Images, non essendo in grado di riconoscere l'immagine corrotta, solo una volta cliccato si presenterà il fraudtool.
- Nel caso ci si dovesse ritrovare di fronte al falso AntiVirus ad oggi sono stati rilevati 2 tipi di comportamento:
- nel primo caso si presenta un message box con la richiesta di download del programma
- nel secondo si presenta una finta scansione del computer, di fatto una videata dinamica html, che rappresenta la scansione ipotetica del disco fisso dell'utente.Cliccando in un qualunque punto della videata si avvia la richiesta di download o esecuzione (se si usa Internet Explorer) solo download per tutti gli altri browser.
- Viene da se che il file non deve essere per ovvi motivi ne scaricato ne tantomeno eseguito.
- Se erroneamente si dovesse installare il programma e alla fine vi richiedesse di inserire dati sensibili della carta di credito è assolutamente da evitare altrimenti vi ritrovereste senza soldi nel vostro conto.
- A conclusione di ciò è indispensabile avere sempre un software antivirus installato nel vostro computer. A tal proposito consigliamo di installare Vir.IT eXplorer Lite che potete scaricare liberamente e gratuitamente. È sufficiente cliccare sul bottone sottostante per raggiungere la pagina di Download.
|
C.R.A.M. - TG Soft
Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.
Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”
