Non aprite quella foto: un malware circola sui social tramite immagini vettoriali

Cosimo Alfredo Pina -

L’ultimo ed ennesimo malware che circola online si chiama Locky e ha già scatenato quello che gli esperti definiscono ImageGate. A diffondere la notizia qualche giorno fa è stata l’azienda specializzata in sicurezza informatica Check Point.

Stando a quanto riportato, Locky si insidia in immagini vettoriali (SVG) e file HTML (HTA e JS) che possono circolare senza destare troppi sospetti anche su social e piattaforme di messaggistica. Ma cosa combina questo software malevolo al PC di chi apre queste immagini manipolate?

Nello specifico Locky è un ransomware, ovvero un programma che cripta l’intero contenuto del computer; per tornare ad accedere ad i file serve una password, a detta dei cyber criminali ottenibile pagando un “riscatto” ma spesso è solo un espediente per vere e proprie rapine online. Fortunatamente Facebook ha già preso provvedimenti filtrando i file SVG.

Il social blu non è comunque la sola piattaforma colpita, visto che Check Point parla esplicitamente anche di LinkedIn. Fate quindi moltissima attenzione ai file che ricevete e seguite i consigli degli esperti:

  • Se avete cliccato su un’immagine e il vostro browser ha iniziato a scaricare un file, non apritelo. Qualsiasi social network dovrebbe permettervi di visualizzare l’immagine senza scaricare alcun file.
  • Non aprite immagini con un’estensione strana (come ad esempio SVG, JS or HTA).




MEDIA ALERT

Nuova scoperta Check Point: ImageGate distribuisce malware attraverso le immagini

La tecnica è stata utilizzata nei recenti attacchi ransomware sui social

 

MILANO 24 novembre 2016– Check Point® Software Technologies Ltd. (NASDAQ: CHKP) annuncia una nuova scoperta realizzata dal proprio team di ricerca. L’azienda ha individuato, infatti, un nuovo vettore d’attacco, chiamato ImageGate, che inserisce malware in immagini e file grafici. Inoltre, i ricercatori di Check Point sono riusciti a scoprire la tecnica con cui gli hacker eseguono il codice malevolo all’interno di queste immagini attraverso i canali social media, come Facebook e LinkedIn.

 

Secondo i ricercatori, gli hacker hanno sviluppato l’abilità di inserire un codice malevolo in un’immagine, e, in un secondo momento, di caricarlo su un social network. Gli hacker sfruttano una falla nella configurazione dell’infrastruttura dei social network per indurre deliberatamente le loro vittime a scaricare l’immagine. Il risultato è l’infezione del dispositivo dell’utente, non appena questo clicca sul file scaricato.

 

Da tre giorni, tutto il settore sicurezza sta seguendo con molta attenzione la diffusione di massa del ransomware Locky attraverso i social media, soprattutto la campagna di attacco su Facebook. I ricercatori di Check Point sono certi che la nuova tecnica ImageGate sia la chiave per capire come questa campagna sia stata possibile, un interrogativo rimasto finora senza una risposta.

 

I ricercatori di Check Point sono riusciti a scoprire il vettore d’attacco che coinvolge i principali siti web e social network del mondo, inclusi Facebook e LinkedIn. Check Point ha avvertito Facebook e LinkedIn di questo vettore d’attacco all’inizio di settembre.

 

Disponibile al seguente link un video sul funzionamento di ImageGate:  https://youtu.be/sGlrLFo43pY

Nel caso del ransomware Locky, una volta che l’utente scarica e apre il file malevolo che ha ricevuto, tutti i file del dispositivo vengono automaticamente crittografati, e l’accesso viene ripristinato soltanto dopo il pagamento del riscatto. Gli esperti del settore ritengono che la campagna d’attacco sia ancora molto attiva e che mieta nuove vittime ogni giorno.

“Dato che sono sempre di più le persone che passano il proprio tempo sui social network, gli hacker hanno iniziato a concentrarsi su come riuscire a insidiarsi in queste piattaforme”, ha dichiarato Oded Vanunu, Head of Products Vulnerability Research di Check Point. “Gli hacker sanno benissimo che in genere questi siti sono “white listed”, e per questo cercano sempre nuove tecniche per servirsi dei social media come host per le  proprie attività malevole. Per difendere gli utenti contro le minacce più avanzate, i ricercatori di Check Point fanno di tutto per capire dove questi criminali colpiranno la prossima volta”.

Come difendersi

Check Point consiglia di seguire queste misure preventive:

  1. Se avete cliccato su un’immagine e il vostro browser ha iniziato a scaricare un file, non apritelo. Qualsiasi social network dovrebbe permettervi di visualizzare l’immagine senza scaricare alcun file.
  2. Non aprite immagini con un’estensione strana (come ad esempio SVG, JS or HTA).