Trojan tramite annunci di Facebook

[the Borg Queen]

Salve a tutti.

Oggi, mentre scorrevo la bacheca di facebook, un annuncio pubblicitario sulla colonna laterale, nel riquadro "Sponsorizzati", attrae la mia attenzione. Solitamente questi annunci rimandano a pagine di negozi online, specialmente di abbigliamento. Questa volta però, cliccando, si apre un'altra scheda del browser (che rimane vuota) ed in automatico, senza chiedermi il permesso, scarica un file sul computer.
Vado a controllare la cartella Scaricati e trovo una cartella compressa .zip nominata "ClipSexHotGirl_Part", la cestino e la elimino immediatamente.
Ma volendo capire cos'era e se permane un rischio per la sicurezza del mio computer, indago sull'URL dal quale è provenuta. Innanzitutto imposto il browser (Firefox) in modo che mi chieda il permesso di scaricare file anziché farlo in automatico, poi dal link di facebook estraggo l'url del sito, il domino è .top (mai visto prima), l'url è "xyzvideo", dunque mi collego e di nuovo, pagina bianca e mi scarica in automatico un altro file .zip, questa volta chiamato "ClipSexHotGirl_Full", nonostante avessi impostato il browser per vietarlo.
Allora vado su VirusTotal (sito per fare scansioni di file online), carico suddetto file e dall'analisi risulta che si tratta di un Trojan disdroth, riconosciuto da Avast e da EsetNod32. Inoltre mi dà i dettagli che potete vedere qui: https://www.virustotal.com/gui/file/dbd ... 8/behavior
Elimino nuovamente il file in questione (per la terza volta, senza mai aprirlo).
Successivamente ho visionato i file nascosti della cartella Scaricati e non compare nient'altro. Ho cercato sull'intera Home file che abbiano lo stesso nome di quello in questione e mi dice "nessun risultato". Ho riavviato per eliminare i file temporanei potenzialmente dannosi.
Pensavo che facebook vigilasse sul contenuto degli annunci pubblicitari prima di pubblicarli! Questo non è opera di un utente malintenzionato che ti invia un link via chat, si tratta di un inserzione pubblicitaria presente nel riquadro "Sponsorizzati" di facebook.
Non ho trovato un modo per segnalare il caso alla sicurezza di facebook. L'episodio è molto grave, se gli utenti non possono fidarsi degli annunci di facebook non li apriranno più, con ripercussioni economiche per facebook.

Vengo ora alla domanda che vorrei porvi: per quanto riguarda il mio computer, come faccio ad essere sicuro che non sia infetto? Ho scaricato per tre volte quella cartella zippata dalla stessa fonte e per tre volte l'ho eliminata senza aprirla. Posso essere ragionevolmente sicuro che ciò è sufficiente per impedire al Trojan di installarsi sul sistema (Ubuntu 20.04)? Quello che mi preoccupa è che il file si è scaricato violando l'impostazione di Firefox, a questo punto penso potrebbe essere capace anche di autoinstallarsi. Cosa ne pensate?

Grazie per eventuali risposte.

[GjMan78]

Un sito web può compiere azioni autonomamente ma un eseguibile non va in esecuzione da solo senza intervento dell'utente.
Puoi stare tranquillo, inoltre al 99% è un trojan scritto per Windows che non si esegue in Linux.

[the Borg Queen]

Un sito web può compiere azioni autonomamente ma un eseguibile non va in esecuzione da solo senza intervento dell'utente.

Grazie per la risposta, confermo che non l'ho aperto, l'unica operazione che ho fatto su suddetto file è stata cestinarlo ed eliminarlo.

Puoi stare tranquillo, inoltre al 99% è un trojan scritto per Windows che non si esegue in Linux.

In effetti, dal responso della scansione online sul sito VirusTotal si direbbe che sia un Trojan specifico per Windows, allego schermate qui di seguito. Si tratta di una cartella compressa che contiene 64 file in estensione EXE e DDL.



La seguente schermata mostra il percorso in cui si vanno ad installare i file malevoli, essendo un "C" è un sistema Windows. Ma non saprei dire se questo è dovuto al fatto che chi ha testato il Trojan l'abbia fatto su una macchina virtuale Windows e, eventualmente gli stessi file sono eseguibili ed installabili su Linux.



Anche gli altri sono d'accordo con GjMan78? Posso stare tranquillo senza dover formattare tutto?
Ad ogni modo per ora non ho notato nulla di strano nel funzionamento del computer, se si dovessero presentare anomalie vi aggiorno.

Grazie per l'attenzione.

[GjMan78]

Se proprio vuoi toglierti ogni dubbio puoi sempre effettuare un paio di scansioni del pc con i classici strumenti ClamAV e RootkitHunter

Sicurezza/ClamAV
Sicurezza/RootkitHunter

[Stealth]

Ma se proprio non vuoi delegare e vuoi vedere con i tuoi occhi, nessuno ti vieta di guardarci dentro da una live

[the Borg Queen]

Se proprio vuoi toglierti ogni dubbio puoi sempre effettuare un paio di scansioni del pc con i classici strumenti ClamAV e RootkitHunter
Sicurezza/ClamAV
Sicurezza/RootkitHunter

Non conoscevo affatto questi argomenti, grazie per avermi suggerito quelle due pagine. In una ci sono ulteriori collegamenti che mandano a voci di Wikipedia che sono alquanto inquietanti: secondo Wikipedia è praticamente impossibile, in molti casi, liberarsi di un Rootkit perché si nasconde, si autoreplica in varie parti del disco e si installa ai massimi livelli del kernel e talora persino nel firmware dell'hardware per cui nemmeno la formattazione del disco lo elimina. Wikipedia dice inoltre che gli strumenti atti ad individuare ed eliminare i rootkit sono inefficaci il più delle volte.

Ma se proprio non vuoi delegare e vuoi vedere con i tuoi occhi, nessuno ti vieta di guardarci dentro da una live

Se ho capito bene quello che proponi è di caricare il sistema operativo in maniera virtuale da una chiavetta o DVD (la cosiddetta "live" che si usa in preinstallazione di Ubuntu), dalla live scaricare nuovamente quel file .zip malevolo dalla stessa fonte e guardare dentro la cartella compressa? Ma a che scopo? Probabilmente vedrò una serie di file, ma da questo come faccio a capire se il mio computer si è infettato dal precedente scaricamento?

[the Borg Queen]

Ieri sera ho segnalato l'accaduto alla Polizia Postale. Penso sia molto grave che tra gli annunci di Facebook ci siano collegamenti a Trojan. Qui non si tratta di un utente malintenzionato che ti contatta via messaggi privati, quell'annuncio era presente nel riquadro "Sponsorizzati" nella colonna laterale di Facebook. Questo significa che Facebook ha preso soldi per fare pubblicità a dei criminali informatici favorendo i loro crimini, si ravvisa un reato colposo di favoreggiamento di crimini informatici da parte di Facebook. Possibile che Facebook non abbia amministratori addetti a vigilare sulla sicurezza dei contenuti pubblicitari che accetta? Se non è garantita la sicurezza degli annunci, gli utenti non li cliccheranno più, con ripercussioni economiche per Facebook.
A questo punto anche degli spacciatori di droga possono farsi pubblicità su facebook e vendere la droga tramite collegamenti sul deepweb. Questo paragone è per far capire la gravità di quanto accaduto: si tratta sempre di reati, reati di cui facebook si è reso complice. Quello che è successo è un fatto grave e mi meraviglio che non ci siano notizie giornalistiche che ne parlino.
Aver messo al corrente la Polizia Postale di quanto accaduto è stato un dovere civico.

[woddy68]

Ieri sera ho segnalato l'accaduto alla Polizia Postale. Penso sia molto grave che tra gli annunci di Facebook ci siano collegamenti a Trojan. Qui non si tratta di un utente malintenzionato che ti contatta via messaggi privati, quell'annuncio era presente nel riquadro "Sponsorizzati" nella colonna laterale di Facebook. Questo significa che Facebook ha preso soldi per fare pubblicità a dei criminali informatici favorendo i loro crimini, si ravvisa un reato colposo di favoreggiamento di crimini informatici da parte di Facebook. Possibile che Facebook non abbia amministratori addetti a vigilare sulla sicurezza dei contenuti pubblicitari che accetta? Se non è garantita la sicurezza degli annunci, gli utenti non li cliccheranno più, con ripercussioni economiche per Facebook.
A questo punto anche degli spacciatori di droga possono farsi pubblicità su facebook e vendere la droga tramite collegamenti sul deepweb. Questo paragone è per far capire la gravità di quanto accaduto: si tratta sempre di reati, reati di cui facebook si è reso complice. Quello che è successo è un fatto grave e mi meraviglio che non ci siano notizie giornalistiche che ne parlino.
Aver messo al corrente la Polizia Postale di quanto accaduto è stato un dovere civico.

Non è detto che ne siano complici, a volte i link esterni vengono compromessi da virus solo dopo e a volte i responsabili del link sono loro stessi vittime dell' attacco. Per cui attenzione a fare accuse senza cognizione di causa.

[the Borg Queen]

Non è detto che ne siano complici, a volte i link esterni vengono compromessi da virus solo dopo e a volte i responsabili del link sono loro stessi vittime dell' attacco. Per cui attenzione a fare accuse senza cognizione di causa.

Per "responsabile del link" intendi il personale di facebook addetto alla pubblicazione di annunci? In pratica ipotizzi che il computer su cui ha operato potrebbe essere infetto? Questo è altrettanto inquietante.
Ad ogni modo nel mio precedente post mi sono premurato di scrivere "colposo": la giurisprudenza distingue i reati "dolosi" (quelli commessi con l'intenzione di nuocere) da quelli "colposi" (quelli causati senza intenzione). Io non ho affermato che facebook abbia pubblicato quell'annuncio con l'intenzione di delinquere, presumo l'abbia fatto perché gli sia sfuggito, non l'ha impedito forse a causa di un incidente o un errore di qualche tipo, quindi in modo "colposo" e non "doloso".
Resta il fatto che, com'è capitato a me, dev'essere capitato anche ad altri e chissà quanta gente è stata esposta al trojan in questione. È un episodio che merita di essere indagato dalle forze dell'ordine.

Per quanto riguarda il rischio a cui sono stato esposto, sapete dirmi altro? Il fatto di non aver aperto quel file e di averlo eliminato è stato sufficiente a preservarmi dall'infezione?

[woddy68]

Non è detto che ne siano complici, a volte i link esterni vengono compromessi da virus solo dopo e a volte i responsabili del link sono loro stessi vittime dell' attacco. Per cui attenzione a fare accuse senza cognizione di causa.

Per "responsabile del link" intendi il personale di facebook addetto alla pubblicazione di annunci? In pratica ipotizzi che il computer su cui ha operato potrebbe essere infetto? Questo è altrettanto inquietante.
Ad ogni modo nel mio precedente post mi sono premurato di scrivere "colposo": la giurisprudenza distingue i reati "dolosi" (quelli commessi con l'intenzione di nuocere) da quelli "colposi" (quelli causati senza intenzione). Io non ho affermato che facebook abbia pubblicato quell'annuncio con l'intenzione di delinquere, presumo l'abbia fatto perché gli sia sfuggito, non l'ha impedito forse a causa di un incidente o un errore di qualche tipo, quindi in modo "colposo" e non "doloso".
Resta il fatto che, com'è capitato a me, dev'essere capitato anche ad altri e chissà quanta gente è stata esposta al trojan in questione. È un episodio che merita di essere indagato dalle forze dell'ordine.

Per quanto riguarda il rischio a cui sono stato esposto, sapete dirmi altro? Il fatto di non aver aperto quel file e di averlo eliminato è stato sufficiente a preservarmi dall'infezione?

No non intendevo quello, intendo il fatto che Facebook potrebbe aver accettato l'inserzionista del link e sicuramente lo avrà controllato risultando pulito, ma come già scritto non è così insolito che un sito possa essere infettato a posteriori.
Dopodiché sulle responsabilità civili o penali che siano, non sono un avvocato per cui non mi pronuncio, anche perché non conosco la catena...
Se hai accertato che lì c'è un virus, io avviserei anche facebook, che provvederà a bloccare l'inserzione.
Nessuno qui sta dicendo che hai sbagliato ad avvertire le forze dell'ordine, anzi ! Quello che io sto dicendo è che farei attenzione a dare responsabilità, se non si conosce l'intera catena di responsabilità, se ci saranno da parte di Facebook o chi per lei ne risponderà nelle dovute sedi dopo averle appurate, al momento possiamo solo denunciare.

[the Borg Queen]

No non intendevo quello, intendo il fatto che Facebook potrebbe aver accettato l'inserzionista del link e sicuramente lo avrà controllato risultando pulito, ma come già scritto non è così insolito che un sito possa essere infettato a posteriori.

È una spiegazione plausibile in generale, possono avvenire casi come quelli da te descritti, ma in questo caso specifico lo credo improbabile perché già il tipo di annuncio (immagine di donna parzialmente nuda distesa sul letto), la didascalia «Scarica e guarda il video hot sul tuo computer» e l'url a cui l'annuncio indirizza (xyzvideo) e il dominio (top) sono sospetti.
Voi giustamente vi chiederete come mai , dato l'aspetto di tale annuncio, io non mi sia insospettito PRIMA di cliccare. Sono stato distratto perché mi fidavo di facebook, non credevo possibile che una cosa del genere potesse accadere su facebook, perciò non ci ho proprio badato. Solo successivamente, quando lo stesso annuncio mi è apparso nuovamente in un secondo momento ho notato le caratteristiche. Prima visitavo abitualmente i siti degli annunci, si trattava sempre di siti sicuri di negozi online come Amazon e Shein. Quando mangiate un pasto preparato da un vostro familiare, non lo osservate in cerca di qualche oggetto acuminato, tipo una puntina, lo mangiate quasi senza guardarlo semplicemente perché vi fidate del vostro parente che lo ha preparato. Stessa cosa ho fatto io con facebook, ho cliccato quasi senza guardare perché pensavo di potermi fidare di facebook.

Se hai accertato che lì c'è un virus, io avviserei anche facebook, che provvederà a bloccare l'inserzione.

È una delle prime cose che ho cercato di fare, ma non ho trovato il modo. Su facebook è facilissimo segnalare contenuti degli utenti che violano le norme, ma non ho trovato il modo di segnalare la presenza di un collegamento malevolo negli annunci sponsorizzati. Nemmeno cercando su google ho trovato una pagina di facebook per segnalare problemi di sicurezza informatica.

[woddy68]

Da me c'è ! Ad es.