Messenger utilizzato per diffondere Ransomware – Attenzione!

Se su Facebook vi dovesse arrivare un messaggio contenente un’immagine formato SVG, non cliccateci sopra
L’immagine non è altro che un downloader di malware, nello specifico verrebbe scaricato Locky Ransomware, che si sta rivelando il ransomware preferito dai cyber-criminali.
I file SVG sono immagini Vettoriali, come tali possono contenere codice Javascript.
Oggi i moderni browser sono in grado di leggere i file SVG, ma per farlo devono interpretarne il contenuto, compreso Javascript. Gli hacker hanno deciso di iniettare codice javascript malevolo all’interno dell’immagine SVG, trasformando questa in un link.
Il link porta gli utenti verso una copia di Youtube, che chiede di scaricare un codec sotto forma di estensione per Chrome al fine di poter visualizzare un determinato tipo di video.
Una volta installata, l’estensione prende il controllo dei messaggi Facebook e invia a tutti gli amici un messaggio simile a quello ricevuto e utilizza Locky Ransomware per cifrare tutti i file della vittima.

Al momento google ha rimosso l’estensione dal suo store, ma chiaramente è possibile che venga reinserita da qualcun’ altro. Facebook sta già lavorando per bloccare le SVG dannose.

Come sempre la cautela nell’apertura degli allegati è d’obbligo, sopratutto se non è usuale che una determinata persona vi invii delle immagini.

Alessandro Giacani

Alessandro Giacani

CEO @ Nukecommerce ltd, Full Stack Developer.
Scovo problemi complicati – fornisco soluzioni semplici.
Chatta con me