McAfee mette in guardia dal Trojan FormSpy, che si maschera come extension del browser per rubare dati personali dai computer
Un nuovo codice maligno, denominato FormSpy da
McAfee, si maschera da estensione Firefox per
installarsi sui computer e rilevare dati sensibili e bancari.
Il Trojan è in grado di controllare i movimenti del mouse e
le digitazioni sulla tastiera per registrare username e
password, informazioni di login e URL digitati nel browser open-source; un
secondo componente del codice maligno, invece, fiuta password da sessioni ICQ e
FTP, e traffico IMAP e POP3. Tutte le informazioni raccolte sono poi inviate a
un indirizzo IP codificato nel Trojan.
Il processo parte da un messaggio spam, proveniente dal mega
retailer Wal-Mart, che contiene degli allegati; quando uno di
questi viene aperto, il Trojan scarica sul computer un keylogger e uno sniffer.
FormSpy si posiziona su PC già infettati da un altro Trojan denominato
Downloader-AXM, rintracciato recentemente in messaggi di spam, che scarica altri
programmi maligni sul computer.
FormSpy appare come estensione NumberedLinks 0.9
che, normalmente, permette all’utente di navigare tra link utilizzando
una tastiera piuttosto che un mouse. Di solito le estensioni Firefox,
che in Windows hanno estensione .xpi, mostrano all’utente una finestra di
conferma prima di avviare l’installazione; questo falso Numberedlinks invece la tralascia, scrivendo
i file direttamente nelle cartelle Firefox.
Le estensioni Firefox sono state spesso criticate per la mancanza di firme
digitali a garanzia dei contenuti. Tuttavia, la minaccia
apportata da FormSpy resta ancora di basso
profilo.
