27 luglio, 2006

In guardia contro l'estensione pericolosa per Firefox

tratto da MozillaZine

I produttori di software antivirus riferiscono che è stato individuato un cavallo di Troia con le vesti di un'estensione per Mozilla Firefox. Il trojan, battezzato da McAfee in FormSpy e da Sophos in Troj/FireSpy-A, cattura le informazioni inserite nel browser, tra cui password e dettagli bancari, e le invia ad un computer remoto. Il trojan si presente come un eseguibile Windows e finge di essere la vera e innocua estensione "numberedlinks".

Non viene sfruttata alcuna vulnerabilità di sicurezza di Firefox per infettare la macchina: il trojan FormSpy viene scaricato e installato automaticamente da un malware di Windows conosciuto come Downloader-AXM, che esiste solamente con lo scopo di scaricare e gestire furtivamente i cavalli di Troia. Una volta scaricato dal Downloader-AXM, FormSpy si installa in Firefox modificando direttamente i file del profilo utente, scavalcando del tutto il meccanismo standard di installazione delle estensioni (e il relativo avviso).

Per infettarsi con FormSpy, un utente deve avere già presente nel proprio sistema il Downloader-AXM. Identificato all'inizio di questa settimana, Downloader-AXM è un eseguibile Windows allegato ad una e-mail fasulla contenente una conferma d'ordine di Wal-Mart. Tuttavia, McAfee afferma che sono stati riscontrati tentativi di installazione di FormSpy utilizzando l'exploit VBS/Psyme (vecchio di 3 anni) di Internet Explorer.

Per assicurarsi di non essere stati infettati, gli utenti Firefox dovrebbero verificare l'elenco delle estensioni installate (dal menu Strumenti scegliere la voce Estensioni): la presenza della voce "Numbered Links 0.9" potrebbe rappresentare una possibile infezione. McAfee crede che, al momento, il numbero di casi positivi sia relativamente basso.

Nessun commento: