Il worm di Facebook si affida a Google Reader

Dalla fine di luglio 2008 sono stati avvistati qua e là worm che hanno come obiettivo gli utenti Facebook. La strategia è semplice ma efficace: un messaggio dannoso viene inviato agli amici dell’utente infetto invitandoli a visitare una pagina con un video online, cosa estremamente comune nell’odierna era del Web 2.0. Però, se si segue il link, si scopre ben presto che il video non parte… a meno di non installare un codec speciale, come viene richiesto dalla pagina! Ovviamente, tale codec non è altro che un Trojan contenente vari tipi di malware, compresa una copia del worm. 

Di recente, questa strategia di social engineering si è arricchita di un elemento molto interessante. Come si può vedere nella Figura 1 riportata sotto, il link del massaggio canaglia conduce a Google.

Cliccando sul link, l’utente viene portato agli Shared Items di Google Reader.

Google Reader permette agli utenti di condividere le notizie più interessanti con la propria rete sociale (in parole povere è un lettore di notizie Web 2.0-enabled) e con il pubblico tramite la pagina “shared items”.

A quanto pare, i cybercriminali che hanno ideato i worm di Facebook hanno registrato degli account Google Reader (manualmente o automaticamente tramite operazioni di Phishing o con risolutori automatici di CAPTCHA) al solo scopo di caricarli di link a siti dannosi.

Questo “salto” da Google Reader ha uno scopo ben preciso: dare alla vittima la sensazione che il video sia ospitato in Google e che quindi sia sicuro. Se si combina questo elemento con il fattore “è il messaggio di un amico”, che serve a far abbassare la guardia all’utente, si ha una buona probabilità che la vittima designata faccia il fatidico click.