Trojan

Articoli archiviati in questa categoria

Firefox, un cavallo di Troia per la volpe di fuoco

Inserito da Giuliano il 5 dic 2008 alle 7:58 nella categoria Firefox , Sicurezza , Trojan.

BitDefender lancia l’allarme: un malware tenta di rubare le credenziali finanziarie agli utenti Firefox camuffandosi da add-on legittimo. E’ il prezzo da pagare per la sempre crescente diffusione del browser?

Povero Firefox! Il sempre più diffuso browser Web sembra pagare il prezzo della propria notorietà sotto forma di un malware, apparentemente ben disegnato, che lo prende di mira risparmiando a mo’ di legge del contrappasso il malcapitato InternetExplorer.

E’ stata BitDefender a scoprire Trojan.PWS.ChromeInject.A. Il nome è sicuramente lungo, ma sufficientemente esplicativo: il malware si annida nella cartella degli add-on di Firefox, e viene eseguito all’avvio del browser. Uno script JavaScript identifica più di un centinaio di servizi di Internetbanking, cercando di carpire attraverso un cavallo di Troia le possibili credenziali degli utenti. Tra i siti Web tracciati, spiccano Paypal e Bank of America, oltre a un buon numero di banche italiane e servizi finanziari: dalle Poste a Banca Intesa, da Credem a Cariparma, dalla Popolare di Sondrio a Banca Mediolanum e Fineco o Carige, sono in molti ad essere sotto tiro. Il comportamento del malware – che punta al password stealing, ovvero al furto delle password – giustifica l’acronimo PWS sopra citato.

L’opera viene completata con l’invio degli eventuali dati rubati a server ubicati in Russia. Il malware viene diffuso con attacchi di tipo drive-by download: gli utenti vengono indirizzati su siti Web maligni che forzano l’installazione del codice sfruttando exploit noti. Il malware si registra in Firefox fingendo di essere Greasemonkey, un add-on che serve ad aggiungere funzioni mediante script JavaScript alle pagine Web visualizzate con Firefox. Va detto, comunque, che ogni estensione di Firefox deve essere approvata esplicitamente prima di essere installata, il che dovrebbe frenare la diffusione su ampia scala del malware.

Non è la prima volta che gli add-on di Firefox sono soggetti ad attacchi: a maggio, il langpack vietnamita è stato sfruttato per diffondere pubblicità non richieste, e da allora Mozilla è solita analizzare periodicamente i propri repository ufficiali con scanner antivirus aggiornati. Cosa che, nel contesto specifico, dovrebbe mettere al riparo gli utenti Firefox da sgradite sorprese (e da prelievi indesiderati).

Fonte: MyTech.it

Permalink | Commenta
 

In guardia contro l’estensione pericolosa per Firefox

Inserito da Giuliano il 28 lug 2006 alle 7:59 nella categoria Estensioni , Firefox , Trojan.

I produttori di software antivirus riferiscono che è stato individuato un cavallo di Troia con le vesti di un’estensione per Mozilla Firefox.

Il trojan, battezzato da McAfee in FormSpy e da Sophos in Troj/FireSpy-A, cattura le informazioni inserite nel browser, tra cui password e dettagli bancari, e le invia ad un computer remoto. Il trojan si presente come un eseguibile Windows e finge di essere la vera e innocua estensione "numberedlinks".

Non viene sfruttata alcuna vulnerabilità di sicurezza di Firefox per infettare la macchina: il trojan FormSpy viene scaricato e installato automaticamente da un malware di Windows conosciuto come Downloader-AXM, che esiste solamente con lo scopo di scaricare e gestire furtivamente i cavalli di Troia. Una volta scaricato dal Downloader-AXM, FormSpy si installa in Firefox modificando direttamente i file del profilo utente, scavalcando del tutto il meccanismo standard di installazione delle estensioni (e il relativo avviso).

Per infettarsi con FormSpy, un utente deve avere già presente nel proprio sistema il Downloader-AXM. Identificato all’inizio di questa settimana, Downloader-AXM è un eseguibile Windows allegato ad una e-mail fasulla contenente una conferma d’ordine di Wal-Mart. Tuttavia, McAfee afferma che sono stati riscontrati tentativi di installazione di FormSpy utilizzando l’exploit VBS/Psyme (vecchio di 3 anni) di Internet Explorer.

Per assicurarsi di non essere stati infettati, gli utenti Firefox dovrebbero verificare l’elenco delle estensioni installate (dal menu Strumenti scegliere la voce Estensioni): la presenza della voce "Numbered Links 0.9" potrebbe rappresentare una possibile infezione. McAfee crede che, al momento, il numbero di casi positivi sia relativamente basso.

Tratto da MozillaZine, tradotto da Rossano Orlandini. Originariamente pubblicato su mozilla links it

Permalink | 1 Commento
 

Firefox, arriva l’estensione-trojan

Inserito da Giuliano il 27 lug 2006 alle 7:19 nella categoria Estensioni , Firefox , Trojan.

McAfee ha scoperto una estensione di Firefox che, lungi dall’essere al servizio dell’utenza, vi determina anzi una alta situazione di rischio in quanto controlla gli spostamenti del mouse e quanto digitato per poter ottenere (ed inviare ad un server remoto) riferimenti per ICQ, pagamenti online, carte di credito, POP3, FTP, eccetera.

L’estensione si presenta sotto le vesti dell’innocente Numberedlinks 0.9 ma, una volta installata, inizia l’attività truffaldina del software. A differenza delle estensioni normali il file .xpi non offre notifica dell’avvenuta installazione, rendendo così l’utente ulteriormente vulnerabile.

Alla luce del crescente successo del browser Mozilla e dell’estrema facilità di installazione dell’estensione maligna (denominata FormSpy), per gli utenti è necessario porre particolare attenzione durante l’installazione degli Add-on affinchè la provenienza dei file sia sicura e garantita.

Fonte; WebNews.HTML.it

Permalink | [3] Commenti