I laboratori di ricerca di Trend Micro hanno identificato una nuova evoluzione della botnet Koobface che, questa volta, colpisce il servizio Google Reader. La nuova evoluzione della famigerata botnet prende di mira il servizio gratuito di Google per monitorare la pubblicazione di nuovi contenuti sui siti di interesse degli utenti. Finora i gli account Google Reader fasulli rilevati sono circa 1.300.
Trend Micro continua a monitorare le attività criminali di Koobface, incluse le azioni di spam di URL sui siti di social networking come Facebook, MySpace e Twitter.
Koobface è un virus informatico che, dopo l'infezione, tenta di ottenere informazioni sensibili dalle vittime come numeri di carta di credito. Si diffonde inviando messaggi con richieste di amicizia agli utenti dei Social Network reindirizzandoli verso un sito contenente un aggiornamento fasullo di Adobe Flash Player. Scaricando il file fasullo il pc viene infettato. Sono state inoltre già identificate due varianti del virus: Net-Worm.Win32.Koobface.a. (che attacca Myspace) e Net-Worm.Win32.Koobface.b, che attacca Facebook (fonte Wikipedia).
I ricercatori Trend Micro hanno scoperto che gli URL di Google Reader erano colpiti dallo spam di Koobface attraverso tali siti di social networking. L'attacco funziona servendosi di un account Google controllato dal gruppo Koobface che propone una pagina con un finto video YouTube. Quando un utente clicca sul video fasullo viene rediretto a un sito Web compromesso, che a sua volta contiene un altro finto video YouTube. Il sito compromesso infetta l'utente che diviene così parte inconsapevole della rete di “PC zombie” Koobface.
Al momento si ha prova di circa 1.300 account Google Reader fasulli usati da Koobface per questo scopo, e ovviamente Google è stata avvisata del problema.
"Siamo in presenza di un altro attacco nel quale i cybercriminali sfruttano a scopo di lucro strumenti di social networking originariamente progettati a scopo di divertimento", ha commentato il CTO di Trend Micro, Raimund Genes.
Google Reader è un servizio gratuito di Google per monitorare la pubblicazione di nuovi contenuti sui siti Web, consentendo agli utenti che adottano questa funzione di fruire degli aggiornamenti da diversi siti. La funzione che consente la condivisione dei nuovi contenuti è quella che i cybercriminali hanno sfruttato attraverso lo spam di collegamenti pericolosi.
