UICIECHI.IT: NOVEMBRE-DICEMBRE 2008 - Numero 11-12.
Firefox, un cavallo di Troia per la volpe di fuoco.
Scritto da Guido Sintoni.
BitDefender lancia l’allarme: un malware tenta di rubare le credenziali finanziarie agli utenti Firefox camuffandosi da add-on legittimo. E’ il prezzo da pagare per la sempre crescente diffusione del browser?
Povero Firefox! Il sempre più diffuso browser Web sembra pagare il prezzo della propria notorietà sotto forma di un malware, apparentemente ben disegnato, che lo prende di mira risparmiando a mo’ di legge del contrappasso il malcapitato InternetExplorer.
E’ stata BitDefender a scoprire Trojan.PWS.ChromeInject.A. Il nome è sicuramente lungo, ma sufficientemente esplicativo: il malware si annida nella cartella degli add-on di Firefox, e viene eseguito all’avvio del browser. Uno script JavaScript identifica più di un centinaio di servizi di Internetbanking, cercando di carpire attraverso un cavallo di Troia le possibili credenziali degli utenti. Tra i siti Web tracciati, spiccano Paypal e Bank of America, oltre a un buon numero di banche italiane e servizi finanziari: dalle Poste a Banca Intesa, da Credem a Cariparma, dalla Popolare di Sondrio a Banca Mediolanum e Fineco o Carige, sono in molti ad essere sotto tiro. Il comportamento del malware - che punta al password stealing, ovvero al furto delle password - giustifica l’acronimo PWS sopra citato.
L’opera viene completata con l’invio degli eventuali dati rubati a server ubicati in Russia. Il malware viene diffuso con attacchi di tipo drive-by download: gli utenti vengono indirizzati su siti Web maligni che forzano l’installazione del codice sfruttando exploit noti. Il malware si registra in Firefox fingendo di essere Greasemonkey, un add-on che serve ad aggiungere funzioni mediante script JavaScript alle pagine Web visualizzate con Firefox. Va detto, comunque, che ogni estensione di Firefox deve essere approvata esplicitamente prima di essere installata, il che dovrebbe frenare la diffusione su ampia scala del malware.
Non è la prima volta che gli add-on di Firefox sono soggetti ad attacchi: a maggio, il langpack vietnamita è stato sfruttato per diffondere pubblicità non richieste, e da allora Mozilla è solita analizzare periodicamente i propri repository ufficiali con scanner antivirus aggiornati. Cosa che, nel contesto specifico, dovrebbe mettere al riparo gli utenti Firefox da sgradite sorprese (e da prelievi indesiderati).
Guido Sintoni.