40767 Letture

"Obsoleto rilevato plugin Java": una pagina web pensata per distribuire malware

Negli ultimi giorni sempre più utenti stanno segnalando la comparsa, durante la navigazione sul web, di una pagina web che sembra proporre un aggiornamento del pacchetto Java. "Obsoleto rilevato plugin Java" è il messaggio che appare in bell'evidenza, accanto al logo del prodotto sviluppato e distribuito da Oracle.

Con un italiano altrettanto approssimativo, la pagina spiega: "stai utilizzando un plugin Java che essere antiquated. Si prega di aggiornare alla versione più recente di Java (consigliato)".
Il messaggio sembra comparire nei momenti più diversi, mentre si sta visualizzando un video utilizzando uno dei tanti servizi disponibili online oppure durante la consultazione di un qualsiasi sito web. La pagina web "Obsoleto rilevato plugin Java", ad esempio, appare periodicamente su Dailymotion così come su eBay.

Iniziamo col rassicurare i nostri lettori. La comparsa della pagina "Obsoleto rilevato plugin Java" non è sintomo di un'infezione sul proprio personal computer.
Essa compare indipendentemente dal browser in uso e su tutte le piattaforme (anche sui dispositivi mobili).


Gli autori della pagina "Obsoleto rilevato plugin Java" hanno utilizzato un approccio che, da un lato, poggia sul concetto di ingegneria sociale e dall'altro ricorda da vicino la pratica del phishing. Si cerca infatti di tendere un tranello inducendo gli utenti a ritenere che il pacchetto Java installato sul proprio sistema sia obsoleto e quindi debba essere aggiornato.
Sono molti, comunque, gli elementi che fanno immediatamente suonare un campanello d'allarme:

- il messaggio è scritto in un italiano stentato

- la pagina "Obsoleto rilevato plugin Java" viene caricata da decine di domini differenti. Eccone alcuni a mero titolo esemplificativo:

adobes.us
wrodland.com
uploandie.com
javanet2014.com
jbdownloadup.com
2014newjava.com
javaevd.com
javagree2014.com
javaupdatingonline.com
javaonlined.com
javadaygood.com
javabashen.com
readloadja.com
autopartswarehousei.com


È bene ricordare che le versioni ufficiali del pacchetto Java vanno scaricate esclusivamente dal sito web java.com.

- utilizzando i suggerimenti pubblicati nel nostro articolo Quanti e quali siti sono intestati alla stessa persona od azienda? si potrà immediatamente verificare come gli intestatari dei nomi a dominio non abbiano nulla a che vedere con Oracle.
Servendosi del servizio YouGetSignal e digitando - a questo indirizzo - i nomi dei vari domini, ci si accorgerà di come gli autori della pagina abbiano organizzato campagne simili anche nel caso di Flash Player e dei prodotti McAfee.
Digitando, ad esempio, javaevd.com sulla pagina Reverse IP domain check di YouGetSignal, si troverà che sulla medesima macchina che ospita javaevd.com sono attestati anche domini come flashplayerupdating.com e mcafeeupdatefreefile.com.

Gli autori della pagina "truffaldina" stanno insomma creando altri siti web coi quali gli utenti vengono spronati all'installazione di falsi aggiornamenti di Flash Player o delle soluzioni McAfee.

- la pagina web appare anche sui sistemi ove Java non è installato

- in calce alla pagina viene mostrato un disclaimer (parzialmente nascosto dal messaggio "Aggiornamento Java") che conferma l'installazione toolbar aggiuntive e componenti di terze parti.

Perché compare la pagina "Obsoleto rilevato plugin Java"?

La pagina web "Obsoleto rilevato plugin Java" non appare come conseguenza dell'installazione di componenti malevoli. Viene piuttosto provocata da alcuni circuiti di advertising che permettono agli inserzionisti la pubblicazione di elementi HTML e di codice JavaScript.
Per verificarlo, è sufficiente "armarsi" dell'estensione Firebug per Firefox, un componente aggiuntivo per il browser di Mozilla che, tra le altre cose, facilita il monitoraggio del comportamento di qualunque pagina web.
Non appena il browser carica, dal circuito adv, il riferimento al sito web "Obsoleto rilevato plugin Java", viene effettuato un reindirizzamento (redirect) automatico forzando l'utente ad abbandonare la pagina che stava visualizzando.

L'importante, ovviamente, è non installare i file proposti attraverso la pagina "Obsoleto rilevato plugin Java". Si vedrebbero caricati sul sistema una serie di elementi che spiano le attività dell'utente e raccolgono i dati sulle sue preferenze online reindirizzandoli altrove.
La barra degli strumenti che verrà installata sul sistema si comporterà come un hijacker del browser ossia ne modificherà pesantemente il comportamento aprendo pagine web senza l'autorizzazione dell'utente ed operando, in modo trasparente, l'alterazione dei contenuti esposti.
Per la rimozione di questo tipo di minacce, si potranno eventualmente applicare i suggerimenti illustrati nell'articolo Rimuovere programmi indesiderati: suggerimenti pratici.

Aggiornamento del 08.05.2014 - Di recente, gli autori di "Obsoleto rilevato plugin Java" sono tornati all'attacco attivando dei redirect attraverso i circuiti banner gestiti da altre società.
Oltre ai reindirizzamenti verso pagine web che mostrano il messaggio fasullo Obsoleto rilevato plugin Java, di recente abbiamo anche registrato la visualizzazione del messaggio seguente: "Page can not be displayed! Update Flash Player to the latest version!".
Ribadiamo che il problema non riguarda in alcun modo il sito web che si sta visitando (non v'è alcuna infezione): il codice JavaScript che effettuare il reindirizzamento del browser è purtroppo presente nelle inserzioni visualizzate random in alcuni circuiti adv.


Nel caso in cui dovessero emergere ulteriori novità, provvederemo ad aggiornare il nostro articolo.


  1. Avatar
    Sampei Nihira
    17/01/2014 12.38.29
    Premesso che l'installazione dei plugins dovrebbe essere scelta in base alle proprie strette esigenze personali,e quindi meno sono meglio è, mi riallaccio al discorso dell'articolo mettendo in risalto come integrazione l'articolo sotto:

    https://community.qualys.com/blogs/laws-of-vulnerabilities/2013/11/27/secure-your-browser-before-shopping-online" onclick="window.open(this.href);return false;

    per consigliare in caso di installazione di plugins esterni secondo me è indispensabile non abilitare gli aggiornamenti automatici.

    Per esempio se usate il flash durante l'installazione NON abilitate gli aggiornamenti automatici ma affidate questo tipo di verifica a soft esterni (SUMo portable,Secunia....).
    Vi eviterà di incorrere in possibili avvisi simili che generano in voi confusione e vi inducono con un tecnica di ingegneria sociale a dubitare e quindi cadere nel loro tranello.
    Con JAVA è la stessa cosa,anzi questi 2 soft sono quelli che si prestano meglio ad essere soggetti alle attenzioni dei "soliti furboni".

    Se avete la consapevolezza di aver inibito la possibilità di notifiche di aggiornamenti automatici per questi 2 soft avete anche la certezza che mai a video vi può apparire un pop-up simile e quindi se ne appare uno è certamente un "tranello".

    Ovvio dopo tale consapevolezza occorrerebbe capire che la vostra configurazione di sicurezza a livello preventivo è inadeguata e quindi agire di conseguenza per far si che possibilimente tali eventi siano confinati e ridotti in frequenza il più possibile.