Un Trojan nascosto in una falsa estensione di Google Chrome

BUCAREST, Romania – 20 Aprile 2010 BitDefender®, noto produttore di innovative soluzioni di sicurezza anti-malware mette in guardia sul crescente utilizzo di Google Chrome e delle sue funzionalità per navigare in internet e organizzare informazioni, aumentando le possibilità per i cybercriminali di diffondere malware e rubare le informazioni degli utenti.
La dinamica è semplice: gli utenti di Google Chrome ricevono una e-mail non richiesta che annuncia una nuova estensione per il loro browser preferito sviluppata al fine di facilitare l’accesso ai documenti dalle e-mail.



Fig. 1 Il messaggio spam che diffonde il link dannoso

Il messaggio contiene un link apparentemente non sospetto che spinge chi lo riceve a seguirlo per scaricare la nuova estensione. Una volta cliccato il link, si viene reindirizzati ad una pagina simile a quella di Google Chrome Extensions che, invece dell’estensione promessa, ne fornisce una falsa che infetta il sistema con un malware.
Nonostante l’applicazione finta abbia la stessa descrizione dell’originale, la prima cosa che salta all’occhio degli utenti più attenti è che invece della prevista “.crx”, l’estensione del file è “.exe”



Fig. 2 Il nascondiglio del Trojan

Identificata da BitDefender come Trojan.Agent.20577, l’applicazione modifica il file HOSTS di Windows cercando di bloccare l’accesso alle pagine web di Google e Yahoo. Ogni volta che l’utente cerca di accedervi digitando “google.[xxx]” o “[xx].search.yahoo.com” nel browser, sarà reindirizzato ad un altro indirizzo IP: 89.149.xxx.xxx . Questo permette ai creatori del malware di intercettare i tentativi delle vittime di raggiungere i rispettivi siti. In questo modo l’ingenuo utente sarà reindirizzato alla versione degli stessi siti che il cyber criminale ha creato, e caricato di malware.

Per un aggiornamento costante, ti raccomandiamo di registrarti ai nostri RSS feeds.