Già dall'anno scorso c'è in circolazione un trojan che sembra sia stato un po’ sottovalutato. Come spiegano i tecnici di WebRoot, società da anni attiva nel campo della sicurezza informatica, il malware è piuttosto interessante perché bersaglia espressamente gli utenti di Mozilla Firefox.
Il browser di Mozilla consente, come sappiamo, di memorizzare le chiavi d'accesso utilizzate per l'effettuazione del login sui diversi siti web visitati con maggiore frequenza.
Per disattivare completamente la funzionalità per la memorizzazione di username e password personali basta anadare nel Menù, poi Strumenti, Opzioni, cliccare sulla scheda Sicurezza e quindi disabilitare la casella Ricorda le password dei siti.
Il trojan scoperto da WebRoot modifica un file (nsLoginManagerPrompter.js) alla base del funzionamento di Firefox aggiungendo alcune righe di testo ed eliminandone delle altre. Nella configurazione predefinita, Firefox chiede sempre all'utente se desideri o meno memorizzare le proprie credenziali d'accesso. Sui sistemi infettati dal malware - battezzato "PWS-Nslog" - il messaggio che Firefox espone di default non viene più proposto e tutte le password vengono automaticamente salvate.
Il malware, una volta infettato il sistema, installa un controllo ActiveX (Microsoft Internet Transfer Control DLL, msinet.ocx) nella directory di sistema di Windows. Questo controllo ActiveX viene utilizzato dal trojan per inviare le credeziali sottratte da Mozilla Firefox verso un server remoto.
Contemporaneamente, viene cercato il contenuto del registro di sistema alla ricerca di tutte le possibili password.
Il codice nocivo, sembrerebbe essere stato creato da un iraniano che ha lasciato una traccia del suo operato all'interno del malware (sembra sia presente un riferimento al suo indirizzo e-mail, un account creato sul servizio GMail di Google).
Commenti
Posta un commento