Il ‘Magnet Scam’, virus che trasforma in protagonisti di video hot all’insaputa degli utenti, nell’analisi dell’I-Forensics Team
I miei amici di Facebook sono improvvisamente diventati tutti degli aspiranti porno attori? Sembrerebbe proprio di sì, vista la recente diffusione di profili taggati in video pornografici. Ma prima di gridare allo scandalo o di complimentarsi per la nuova ‘carriera cinematografica’ e bene sapere che il responsabile di tutto non è altro che un nuovo malware scoperto dal ricercatore Mohammad Faghani, che ne ha lanciato l’allarme sulla mailing list Full Disclosure.
Stando all’indagine condotta dal ricercatore, il malware (tecnicamente un ‘Facebook Trojan’) riesce a manipolare i movimenti del mouse e ad inserire testi e stringhe, utilizzando una tecnica che Faghani chiama ‘Magnet Scam’ (letteralmente ‘truffa magnetica’) poiché con essa si riesce ad infettare ‘a catena’ più utenti Facebook.
Mentre le altre infezioni si propagano attraverso messaggi privati, il virus in questione crea (e pubblica) un post contenente un link ad un video porno (che è sempre diverso), nel quale vengono taggati dei contatti amici (per un massimo di 20 nominativi). Questo messaggio diventa visibile non solo agli utenti interessati dal tag, ma anche agli ‘amici degli amici’ del profilo infetto. La curiosità fa il resto: cliccando sul video allettante si viene contagiati a propria volta, assicurando al malware una rapida diffusione. Quando si clicca sul filmato, a un certo punto, la sua riproduzione si arresta e si apre una finestra che richiede l’aggiornamento dell’Adobe Flash Player. Ovviamente si tratta di un finto aggiornamento: veicolo di contagio per qualsiasi dispositivo digitale. Indicatori della presenza del virus sono i seguenti processi attivi: ‘chromium.exe’, ‘wget.exe’, ‘arsiv.exe’ e ‘verclsid.exe’, visualizzabili nello schema Processi della finestra/comando Gestione Attività, i quali avviano un collegamento a siti porno del tipo www.filmver.com e www.pornokan.com.
L’infezione può insinuarsi anche via chat (chattando con un contatto infetto) e installarsi come estensione dei programmi di navigazione (come Chrome, Firefox, Internet Explorer). Tuttavia, a parte l’imbarazzo che genera, non si tratta di una minaccia particolarmente pericolosa e può essere tranquillamente rimossa con i più diffusi antivirus mediante scansione completa del computer. La stessa redazione di Facebook è a conoscenza del nuovo malware e sta lavorando per bloccarne gli effetti, rimuovendone i post. Ovviamente anche la Polizia Postale sta monitorando l’evolversi della situazione.
Cosa fare per evitare di diventare colleghi di Rocco Siffredi? I consigli sono sempre i soliti: utilizzare un buon antivirus sempre aggiornato nelle sue definizioni; non scaricare nulla se non si è certi della provenienza del file, soprattutto aggiornamenti di plug-in (come Adobe Flash Player) che appaiono improvvisamente durante la navigazione internet o la riproduzione di filmati; evitare di cliccare su link del genere e segnalarli a Facebook; settare il controllo dei tag nelle impostazioni del proprio profilo e (cosa che sta già avvenendo per autonoma iniziativa degli utenti) scrivere un post sulla propria bacheca informando tutti gli amici di non aprire assolutamente alcun link o video inviati a nostro nome e in cui essi possano essere stati taggati. È buona cosa utilizzare sempre altri canali di comunicazione (come il telefono o l’e-mail) per accertarsi se un nostro amico ci ha volutamente o meno inseriti in post di questo tipo.
Occorre, infine, ricordare che non bisogna assolutamente prendere per vero tutto ciò che viene postato o condiviso su Facebook.
I-Forensics Team
