Alfonso Maruccia

L'estensione malevola che attacca Facebook

Una nuova minaccia individuata da Microsoft prende di mira gli utenti registrati sul social network in blu, il tutto camuffandosi da "innocua" estensione per browser web. A rischio soprattutto gli internauti brasiliani - per ora

Roma - Microsoft lancia l'allarme sulla circolazione di un nuovo codice malevolo, identificato come Trojan:JS/Febipos.A e progettato per abusare degli utenti di Facebook che accedono al social network tramite browser Mozilla Firefox o Google Chrome.

Febipos.A si camuffa appunto come estensione per i due suddetti browser web, avverte il Malware Protection Center di Microsoft, e una volta installato prova subito ad auto-aggiornarsi contattando un diverso indirizzo URL a seconda del browser infetto.

Il malware verifica poi lo stato del login su Facebook, e se l'utente risulta collegato il codice malevolo passa al download di un file di configurazione (script in php) in cui sono contenuti i comandi e le istruzioni per i successivi comportamenti dell'estensione.
E in quanto a comportamenti, Febipos.A potrebbe risultare essere un vero incubo per gli utenti del social network più popolare: il malware prende letteralmente il controllo del profilo su Facebook dispensando commenti, post, chat e like a proprio piacimento tra gli "amici" dell'utente infetto.

Al momento tutti i messaggi contenuti nel codice di Febipos.A sono in brasiliano, tuttavia Microsoft consiglia di stare all'erta perché il malware si potrebbe facilmente modificare e adattare a lingue e nazioni differenti. Unica nota positiva: Febipos.A non sembra essere il risultato di una vulnerabilità ignota - come quella recentemente scovata da italiani - presente nel codice di Facebook.

Alfonso Maruccia
8 Commenti alla Notizia L'estensione malevola che attacca Facebook
Ordina
  • Mi linki sti sconosciuti (http://truel-it.blogspot.it) come hacker di facebook... ma quella roba e' al 99.9% rippata dagli hack (VERI) del famoso Nir Goldshlager ... ( cfr. https://www.facebook.com/whitehat/thanks/ )
    non+autenticato
  • A dire il vero come scritto nell'articolo hanno segnalato il 28 febbraio ben prima di nirOcchiolino Troppo informarsi prima di sparare giudizo affrettati. Nir pubblicò una prima vulnerabilità su oauth che venne fixata e pubblicata, dopo questi hanno trovato un 'altro modo per exploitare la cosa e Nir un'altro ancora ( facebook owned again) quindi non vedo per quale motivo non sarebbero hacker veri come dici tu.
    non+autenticato
  • - Scritto da: marco casadei
    > A dire il vero come scritto nell'articolo hanno
    > segnalato il 28 febbraio ben prima di nirOcchiolino
    considerando che nir e' 2 anni che riporta vulnSorride cmq su oauth io vedo che #1 e' stata pubblicata il 21febbraio (e ovviamente riportata PRIMA al security team) ..la #2 il 12 marzo... e poi dice Also reported more OAuth bugs at 26/02/2013

    > Troppo informarsi prima di sparare giudizo
    > affrettati. Nir pubblicò una prima vulnerabilità
    > su oauth che venne fixata e pubblicata, dopo
    > questi hanno trovato un 'altro modo per
    > exploitare la cosa e Nir un'altro ancora (
    > facebook owned again) quindi non vedo per quale
    > motivo non sarebbero hacker veri come dici
    > tu.
    beh visto che usano il 99% delle tecniche di cui sopra, e che il post e' del 9 maggio.... magari ho esagerato con quel 0.9% in piu, e un nuovo parametro &next ce l'hanno effettivamente messo...
    non+autenticato
  • A parte che se leggi bene e ti documenti un attimo ti accorgerai che le vulnerabilità sono diverse; ma poi ammettendo anche che abbia segnalato a Febbraio, l'articolo è stato pubblicato a Marzo mentre la nostra segnalazione è di Febbraio. Mi spieghi in che modo avremmo potuto "rippare"?
    non+autenticato
  • Guarda che i bug sono differenti, si tratta sempre di una vulnerabilita' su oauth e il concetto e' il medesimo ma cio' non significa nulla. La vulnerabilita' sfrutta falle diverse da Nir e basta documentarsi, poi se fossero state uguali e fosse stato un rip be' allora spiegami perche' facebook li ha aggiunti al whitehat/thanks, quindi al programma bug bounty pagandoli pure minimo 500 $? Per favore, evitiamo di tirare merda a gratis. Questi ragazzi sono stati molto bravi forse anche doppiamente visto che facebook era a conoscienza delle note vulnerabilita' su oauth eppure sono riusciti ad exploitare lo stesso. Il massimo rispetto e kudos, sono anche ITALIANI, tendiamo un po' troppo a eloggiare " lo straniero" dimenticandoci che abbiamo anche noi persone competenti.
    non+autenticato
  • Ma che discorso è? Cosa c'entra l'essere sconosciuti?
    Se leggi bene c'è anche il nostro nome sulla lista che hai citato, per quanto possa essere rilevante.
    non+autenticato
  • Allora l'unica cosa da fare a proposito di questa nuova estensione e stare attenti a non far filtrare negli account..... CONDIVIDO FORTEMENTE IL VISTRO PENSIERO!
    non+autenticato
  • Na tragedia! Il problemone del secolo.
    non+autenticato