A cura di Davide Mancini, Ispettore della Guardia di Finanza, responsabile dell’Unità Computer Forensic del GAT Nucleo Speciale Frodi Telematiche.Lo spettro del trojan “Bredolab” volteggia tra i cieli di Internet come un falco sorretto dal vento attende pazientemente sospeso nell’aria di avvistare una preda per ghermirla con la precisione degna del più abile spadaccino.
A far la parte del lauto banchetto del rapace sono i milioni di utenti che popolano la comunità di Facebook. Non c’è possibilità di sfuggire all’agguato se non si è dotati di un occhio lungo più di quello dello stesso predatore.
L’alternativa è quella di aver preferito un antivirus piuttosto che un altro: solo poco più di una decina di software di sicurezza sono in grado di rilevare l’infezione, gli altri trenta utilizzati per analizzare il virus non hanno evidenziato alcun comportamento anomalo.
La minaccia viaggia in un file compresso allegato ad una mail. Sembrerebbe l’ennesima bufala facilmente individuabile se non fosse per l’attendibilità – almeno apparente – del mittente.
“The Facebook Team” è il nome che compare associato all’indirizzo di posta elettronica “service@facebook.com”.
La comunicazione, sottolineando l’attenzione posta a garanzia della sicurezza dei propri iscritti, fa riferimento alla sostituzione “d’ufficio” delle coordinate di accesso al profilo da parte dello staff del social network.
Per completezza, la nuova password viene riportata nel file allegato alla mail. Una attenta analisi degli header della mail in questione evidenzia, però, la totale estraneità del gruppo di Facebook.
Tuttavia se l’ignara vittima, raggirata dagli accorgimenti adottati dai pirati per camuffarsi, malauguratamente esegue il rituale “doppio click” – come un samurai con il suo wakizashi compie l’estremo gesto dell’harakiri -, il malware entra in azione.
Vengono infettati processi leciti come “svchost.exe” ed “explorer.exe”, che, unitamente a tecniche “anti-sandbox”, impediscono – o quanto meno rendono difficoltoso – l’operato di antivirus e firewall.
Una volta assicuratosi la totale “trasparenza”, avvia connessioni verso alcuni server corrotti dai quali vengono scaricati altri file infetti, tra i quali compare anche “Pushdo”, un temuto trojan che mette l’elaboratore contagiato nelle mani dei filibustieri della Rete.
Una verifica empirica degli avvertimenti e/o cambiamenti riportati in mail sospette è sicuramente il rimedio efficace per non cadere nella miriade di trappole che quotidianamente intasano le caselle di posta elettronica.
