Un trojan per Firefox ruba le password di banche online

[brugola.x]

Un trojan per Firefox ruba le password di banche online
“Mascherato da estensione per Firefox, il trojan spia l´utente e invia le sue password dell´online banking”

Virus e malware stanno cominciando a spostare la loro attenzione da Windows a software e applicazioni meno diffusi ma comunque molto importanti; abbiamo appena riportato la notizia circa una nuova minaccia virus per Facebook ed ecco che BitDefender fa sapere della scoperta di un nuovo virus che attacca direttamente Firefox: si tratta del trojan "Trojan.PWS.ChromeInject.A" che si maschera da estensione per il browser open source (Greasemonkey) ed una volta installato sul computer viene eseguito ogni volta che si avvia Firefox.

La minaccia è davvero molto seria in quanto il trojan si pone come obiettivo quello di spiare l´utente quando inserisce i propri dati sensibili nelle form di oltre un centinaio di banche online. Le credenziali vengono poi inviate verso una casella e-mail russa.

Fra gli istituto di credito controllati dal malware ne troviamo anche diversi italiani come credem.it, poste.it, quiubi.it, cariparma.it, bancaintesa.it. popso.it, bancamediolanum.it, csebanking.it, fineco.it, gruppocarige.it, iwbank.it, bancagenerali.it, unibanking.it, unipolbanca.it, carisbo.it, barclays.com, paypal.com, etc. Maggiori informazioni sono disponibili a questo indirizzo.

Come sempre alcuni semplici consigli potrebbero salvarvi il portafogli: evitate di installare qualunque software o estensione del browser (in questo caso) se non da voi direttamente richiesto e se non proveniente direttamente da siti raccomandati da Mozilla.

qualche altra informazione sul trojan in questione..


Trojan.PWS.ChromeInject.B

( Trojan-Spy:W32/Banker.IVX, Win32/Inject.NBT trojan, Troj/Bancos-BEX, TR/Drop.Small.abw )

Spreading: very low
Damage: very high
Size: 2kB Discovered: Nov 28 2008

SYMPTOMS:

Presence of the:
"%ProgramFiles%\Mozilla Firefox\plugins\npbasic.dll"
"%ProgramFiles%\Mozilla Firefox\chrome\chrome\content\browser.js"
files in the Mozilla Firefox's plugins and chrome folders.

TECHNICAL DESCRIPTION:

It drops an executable file (which is a Firefox 3 plugin) and a JavaScript file (detected by Bitdefender as: Trojan.PWS.ChromeInject.A) into the Firefox plugins and chrome folders respectively.

It filters the URLs within the Mozilla Firefox browser and whenever encounter the following addresses opened in the Firefox browser it captures the login credentials.

akbank.com
caixasabadell.net
credem.it
areasegura.banif.es
banca.cajaen.es
openbank.es
poste.it
banesto.es
carnet.cajarioja.es
gruposantander.es
intelvia.cajamurcia.es
net.kutxa.net
bancopastor.es
bancamarch.es
caixamanlleu.es
elmonte.es
ibercajadirecto.com
bancopopular.es
bancogallego.es
bancajaproximaempresas.com
caixa*.es
caja*.es
ccm.es
bancoherrero.com
bankoa.es
bbvanetoffice.com
bgnetplus.com
bv-i.bancodevalencia.es
clavenet.net
fibancmediolanum.es
sabadellatlantico.com
arquia.es
banking.*.de
westpac.com.au
adelaidebank.com.au
pncs.com.au
nationet.com
online.hbs.net.au
www.qccu.com.au
boq.com.au
banksa.com
anz.com
suncorpmetway.com.au
quiubi.it
cariparma.it
bancaintesa.it
popso.it
fmbcc.bcc.it
secservizi.it
bancamediolanum.it
csebanking.it
fineco.it
gbw2.it
gruppocarige.it
in-biz.it
isideonline.it
iwbank.it
bancaeuro.it
bancagenerali.it
bcp.it
unibanking.it
uno-e.com
unipolbanca.it
carifvg.com
cariparo.it
carisbo.it
islamic-bank.com
banking.first-direct.com
natwestibanking.com
itibank.co.uk
co-operativebank.co.uk
lloydstsb.co.uk
mybankoffshore.alil.co.im
abbeynational.co.uk
mybusinessbank.co.uk
barclays.com
online.co.uk
my.if.com
anbusiness.com
hsbc.co
anbusiness.com
co-operativebankonline.co.uk
halifax-online.co.uk
ibank.cahoot.com
smile.co.uk
caterallenonline.co.uk
tdcanadatrust.com
schwab.com
wachovia.com
bankofamerica
kfhonline.com
wamu.com
wellsfargo.com
procreditbank.bg
chase.com
53.com
citizensbankonline.com
e-gold.com
paypal.com
usbank.com
suntrust.com
banquepopulaire.fr
onlinebanking.nationalcity.com

It is the first malware that targets Firefox. The filtering is done by a JavaScript file running in Firefox's chrome environment.


Removal instructions:

Close the Firefox browser (if opened).
Please let BitDefender disinfect your files.


fonte http://www.bitdefender.com/VIRUS-100...eInject.B.html

[AirJ]

Come sempre alcuni semplici consigli potrebbero salvarvi il portafogli: evitate di installare qualunque software o estensione del browser (in questo caso) se non da voi direttamente richiesto e se non proveniente direttamente da siti raccomandati da Mozilla.

Ecco, direi che soprattutto questo e' importante. Le estensioni rilasciate sul sito di mozilla sono super controllate, e' bene usare solo le estensioni che si trovano sul loro sito, se uno le trova su siti piu' o meno dubbi come nel caso in questione diciamo che un po' se la cerca....

[brugola.x]

ecco i Dieci Comandamenti per la Sicurezza del tuo computer


1. Informati per ottenere informazioni su come mettere al sicuro il vostro sistema.

2. Acquistare e utilizzare un programma antivirus affidabile. Seleziona un antivirus che ha un track record consistente. AV-Test.org e TUV sono tra i più rispettati tester indipendenti di software antivirus.

3. Acquisire e utilizzare un firewall affidabile. Ancora una volta, i recensori indipendenti sono la vostra fonte migliore per scelte ragionevoli. Alcuni sistemi operativi sono dotati di un firewall che filtra solo il traffico in arrivo. Utilizzare un firewall in grado di controllare il traffico Internet sia in entrata e in uscita .

4. Non aprire e-mail provenienti da sconosciuti o fonti non sicure. Molti virus si diffondono attraverso i messaggi di posta elettronica, per cui occorre chiedere una conferma da parte del mittente, se avete qualsiasi dubbio.

5. Non aprire gli allegati di messaggi sospetti o inaspettati. Se si desidera aprirli, salvarli sul disco rigido e scansionarli con un programma antivirus aggiornato.

6. Eliminare qualsiasi catena di e-mail o messaggi indesiderati. Non rispondere ai loro mittenti. Questo tipo di messaggi è considerato spam, perché è indesiderato e non richiesto e sovraccarica il traffico Internet.

7. Evitare l'installazione di servizi e applicazioni che non sono necessari, come ad esempio il trasferimento di file e la condivisione di file server, desktop remoto server e simili. Tali programmi sono potenziali pericoli, e non dovrebbe essere installati se non strettamente necessario.

8. Aggiorna il tuo sistema e le applicazioni più spesso possibile. Alcuni sistemi operativi e le applicazioni possono essere impostate per aggiornarsi automaticamente. Fare pieno uso di questa possibilità. Senza un aggiornamento frequente, il sistema può rendere vulnerabili alle minacce.

9. Non copiare qualsiasi file se non si ' don t conosce o non ' t si ha fiducia della sua fonte. Verificare la fonte (provenienza) del file, è se necessario scaricare e fare in modo che un programma antivirus abbia già verificato i file alla fonte.

10. Fare un backup di file importanti personali (posta, documenti, foto e altri file importanti) regolarmente. Memorizzare tali copie su supporti rimovibili come CD o DVD. Mantenere il vostro archivio in una posizione diversa rispetto a quello in cui è il tuo computer

sono delle semplici "regole".. e non mi sembrava una cattiva idea quella di ricordarle..

[AirJ]

ecco i Dieci Comandamenti per la Sicurezza del tuo computer


1. Informati per ottenere informazioni su come mettere al sicuro il vostro sistema.

2. Acquistare e utilizzare un programma antivirus affidabile. Seleziona un antivirus che ha un track record consistente. AV-Test.org e TUV sono tra i più rispettati tester indipendenti di software antivirus.

3. Acquisire e utilizzare un firewall affidabile. Ancora una volta, i recensori indipendenti sono la vostra fonte migliore per scelte ragionevoli. Alcuni sistemi operativi sono dotati di un firewall che filtra solo il traffico in arrivo. Utilizzare un firewall in grado di controllare il traffico Internet sia in entrata e in uscita .

4. Non aprire e-mail provenienti da sconosciuti o fonti non sicure. Molti virus si diffondono attraverso i messaggi di posta elettronica, per cui occorre chiedere una conferma da parte del mittente, se avete qualsiasi dubbio.

5. Non aprire gli allegati di messaggi sospetti o inaspettati. Se si desidera aprirli, salvarli sul disco rigido e scansionarli con un programma antivirus aggiornato.

6. Eliminare qualsiasi catena di e-mail o messaggi indesiderati. Non rispondere ai loro mittenti. Questo tipo di messaggi è considerato spam, perché è indesiderato e non richiesto e sovraccarica il traffico Internet.

7. Evitare l'installazione di servizi e applicazioni che non sono necessari, come ad esempio il trasferimento di file e la condivisione di file server, desktop remoto server e simili. Tali programmi sono potenziali pericoli, e non dovrebbe essere installati se non strettamente necessario.

8. Aggiorna il tuo sistema e le applicazioni più spesso possibile. Alcuni sistemi operativi e le applicazioni possono essere impostate per aggiornarsi automaticamente. Fare pieno uso di questa possibilità. Senza un aggiornamento frequente, il sistema può rendere vulnerabili alle minacce.

9. Non copiare qualsiasi file se non si ' don t conosce o non ' t si ha fiducia della sua fonte. Verificare la fonte (provenienza) del file, è se necessario scaricare e fare in modo che un programma antivirus abbia già verificato i file alla fonte.

10. Fare un backup di file importanti personali (posta, documenti, foto e altri file importanti) regolarmente. Memorizzare tali copie su supporti rimovibili come CD o DVD. Mantenere il vostro archivio in una posizione diversa rispetto a quello in cui è il tuo computer

sono delle semplici "regole".. e non mi sembrava una cattiva idea quella di ricordarle..

Per tutto il resto c'e'......

http://www.nexthardware.com/

[Vincent Vega]

Penso che con un minimo di cautele ed una necessaria documentazione, sia possibile installare Adds-On anche non presenti sul sito ufficiale, che sarà comunque da preferire. L'importante è effettuare prima una ricerca in generale sul prodotto che si va ad installare, documentarsi. Ovviamente, se non si ha né voglia né tempo di fare queste fatiche, tanto vale affidarsi a Mozilla.

[brugola.x]

E' stata BitDefender a scoprire Trojan.PWS.ChromeInject.A. Il nome è sicuramente lungo, ma sufficientemente esplicativo: il malware si annida nella cartella degli add-on di Firefox, e viene eseguito all'avvio del browser. Uno script JavaScript identifica più di un centinaio di servizi di Internetbanking, cercando di carpire attraverso un cavallo di Troia le possibili credenziali degli utenti. Tra i siti Web tracciati, spiccano Paypal e Bank of America, oltre a un buon numero di banche italiane e servizi finanziari: dalle Poste a Banca Intesa, da Credem a Cariparma, dalla Popolare di Sondrio a Banca Mediolanum e Fineco o Carige, sono in molti ad essere sotto tiro. Il comportamento del malware - che punta al password stealing, ovvero al furto delle password - giustifica l'acronimo PWS sopra citato.
L'opera viene completata con l'invio degli eventuali dati rubati a server ubicati in Russia. Il malware viene diffuso con attacchi di tipo drive-by download: gli utenti vengono indirizzati su siti Web maligni che forzano l'installazione del codice sfruttando exploit noti. Il malware si registra in Firefox fingendo di essere Greasemonkey, un add-on che serve ad aggiungere funzioni mediante script JavaScript alle pagine Web visualizzate con Firefox. Va detto, comunque, che ogni estensione di Firefox deve essere approvata esplicitamente prima di essere installata, il che dovrebbe frenare la diffusione su ampia scala del malware.

Non è la prima volta che gli add-on di Firefox sono soggetti ad attacchi: a maggio, il langpack vietnamita è stato sfruttato per diffondere pubblicità non richieste, e da allora Mozilla è solita analizzare periodicamente i propri repository ufficiali con scanner antivirus aggiornati. Cosa che, nel contesto specifico, dovrebbe mettere al riparo gli utenti Firefox da sgradite sorprese (e da prelievi indesiderati).