La popolare piattaforma di micro-blogging Twitter è stata colpita di recente dal Worm Net-Worm.JS.Twettir, che ha iniziato la sua attività di diffusione di massa l’11 Aprile.
Il worm sfrutta una vulnerabilità presente in Twitter che permette di eseguire un attacco cross-site scripting (XSS) e modificare quindi un account. Gli utenti vengono infettati non appena visitano il profilo dell’utente a cui è stato modificato l’account o nel caso in cui visitino una pagina Internet proveniente da un messaggio di un account infetto. Nel processo di infezione viene usato anche un Java Script.
Negli ultimi giorni, inoltre, sono comparse altre varianti del worm che hanno causato un numero rilevante di infezioni. Secondo i responsabili di Twitter, comunque, tutte le vulnerabilità che hanno permesso l’attacco sono state eliminate; i dati personali degli utenti, inoltre, non sono stati compromessi o sottratti.
Crescono le minacce provenienti dai social network
Un ragazzo di 17 anni di New York, Michael Mooney, ha ammesso di aver creato Net-Worm.JS.Twettir. In un’intervista a BNO News il ragazzo ha dichiarato di averlo fatto principalmente per combattere la noia, rendere nota la vulnerabilità di Twitter e promuovere il proprio sito attraverso i falsi messaggi creati dal suo worm.
Secondo Roel Schouwenberg, Senior Antivirus Researcher di Kaspersky Lab, “il worm non è particolarmente sofisticato e non rappresenta una vera e propria minaccia, in quanto non è in grado di sottrarre informazioni personali. Il problema è un altro: la possibilità, relativamente semplice, di effettuare attacchi di massa usando piattaforme e strumenti così ampiamente diffusi”.
“Inoltre, visti i recenti worm XSS, diversi servizi online dovrebbero cercare di proteggere i propri utenti. Invece tali servizi chiedono di continuo all’utente di cliccare su dei link o di visitare i profili dei propri amici, proprio come farebbe un programma maligno. Per l’utente diventa quindi difficile capire quando l’invito a visitare una pagina web proviene dal social network oppure da un programma maligno”.
Gli analisti di Kaspersky Lab sottolineano che questo tipo di eventi sono un’ulteriore prova della pericolosità derivante dall’uso esteso dei social network. L’ultimo report annuale 2008 di Kaspersky Lab mostra che l’efficacia della diffusione di codice maligno attraverso social network è del 10%, sensibilmente maggiore rispetto ad altri metodi di diffusione come ad esempio l’email (meno dell’1%). Ciò può derivare dalla maggiore fiducia attribuita dagli utenti a questo tipo di strumenti.
Ad ogni modo, i prodotti Kaspersky Lab hanno rilevato con successo tutte le versioni di Net-Worm.JS.Twettir e sono in grado inoltre di proteggere da altri script maligni presenti in altri siti web infetti.
