Attacco ransomware sui social network con false immagini

Da qualche giorno tutto il settore sicurezza sta seguendo con molta attenzione la diffusione di massa del ransomware Locky attraverso i social network.
Locky è una “vecchia conoscenza”: si tratta di un pericoloso malware che, una volta in esecuzione sul sistema, inizia immediatamente a crittografare i file dell’utente per poi richiedere un riscatto in denaro per il loro sblocco.

Se in passato Locky sfruttava vulnerabilità nel plugin Flash, adesso il vettore d’attacco è nuovamente cambiato.
Gli autori di Locky questa volta hanno utilizzato una “leggerezza” comune ai principali social network per indurre gli utenti ad eseguire codice dannoso, presentato – all’apparenza – come un’innocua immagine.

L’allarme è stato lanciato dai tecnici di Check Point che – battezzando la nuova minaccia come ImageGate – spiegano come il codice dannoso, che provoca l'”insediamento” del ransomware sul sistema degli utenti, venga celato all’interno di un’immagine modificata “ad arte”.

L’immagine, insieme con il suo pericoloso “fardello”, viene poi veicolata attraverso Facebook e LinkedIn alle ignare vittime. Quindi, grazie ad alcuni bug nella gestione dei file pubblicati sul social network (Facebook e LinkedIn sono stati informati a inizio settembre sulla presenza di queste vulnerabilità), l’utente che riceve il file – non appena vi farà clic – vedrà scaricarsi un file SVG, JS o HTA.
Non appena proverà ad aprirlo, il file provocherà l’infezione malware e i file personali dell’utente saranno subito sottoposto a cifratura da parte del ransomware Locky.

In una nota, l’azienda spiega che “Check Point pubblicherà una descrizione tecnica dettagliata su questo vettore d’attacco solo dopo che la vulnerabilità verrà risolta sui siti web più colpiti, per evitare che gli hacker traggano vantaggio da queste informazioni“.

Le informazioni, infatti, sarebbero allo stato attuale facilmente riutilizzabili anche da gruppi di criminali informatici diversi dai soggetti che stanno promuovendo la diffusione di Locky attraverso i social network.

Il meccanismo con cui Locky riesce a infettare gli utenti dei social è chiaramente illustrato nel video prodotto da Check Point, che ripubblichiamo di seguito:

Come fare per difendersi? Al momento, fintanto che Facebook e LinkedIn non avranno sistemato la vulnerabilità presa di mira, il suggerimento è quello di usare la massima attenzione quando si clicca sui contenuti pubblicati sui social.

Un’immagine non può avere estensione SVG, JS o HTA e, soprattutto, non è mai oggetto di una procedura di download da parte del browser. Se un file del genere dovesse essere scaricato a partire da una pagina del social network, mai aprirlo.