Topic: urgente sicurezza trojan ruba password bancarie

[ilgazza]

Ho su google news che cè un trojan di origine russa che si nasconde come estensione di firefox, e riesce a rubare nomi utenti e password bancarie, come posso verificare se anche il mio browser è infettato e come posso rimuovere l'applicazione, visto che utilizzo internet banking. vi prego di ris. a chi è conoscenza del problema grazie a tutti

[cecca]

Non è che ci daresti il link all'articolo?

Se poi le estensioni le scarichi da siti noti e sicuri (es. extenzilla o Addons Mozilla) direi che sei sicuro....

E poi i rischi non li corri solo con le estensioni...

[ilgazza]

http://www.ilsoftware.it/articoli.asp?ID=4858
questo è il link, sta di fatto che si presenta come una estenzione si salva nelle cartelle del browser ma in realta' è una exe che si avvia ogni volta che attivi il browser

[indigo]

e

http://www.blogzilla.info/?p=623

e

http://it.slashdot.org/it/08/12/04/1536231.shtml

comunque in generale Firefox protegge gli utenti in due modi:

uno è con la block list dei componenti aggiuntivi dannosi

l'altro, più in generale, è che non si può avere un'installazione nascosta dei componenti aggiuntivi, l'utente deve sempre acconsentire. Quindi vale il consiglio di Cecca, mai scaricare da siti non affidabili, cioè solo da addons.mozilla.org e extenzilla.org

da uno degli articoli

Va detto, comunque, che ogni estensione di Firefox deve essere approvata esplicitamente prima di essere installata, il che dovrebbe frenare la diffusione su ampia scala del malware.

e

Non è la prima volta che gli add-on di Firefox sono soggetti ad attacchi: a maggio, il langpack vietnamita è stato sfruttato per diffondere pubblicità non richieste, e da allora Mozilla è solita analizzare periodicamente i propri repository ufficiali con scanner antivirus aggiornati. Cosa che, nel contesto specifico, dovrebbe mettere al riparo gli utenti Firefox da sgradite sorprese (e da prelievi indesiderati).

Il discorso mi sembra sempre il solito: le minacce più gravi derivano dall'utente che presta poca attenzione a cosa sta facendo, vedi il phishing..

[Underpass]

La questione non è tanto a parer mio conoscere gli effetti, ma sapere COME viene installato questo malware. Si trova effettivamente in un'estensione - ossia un file XPI?

Oppure una volta installato (ad esempio all'interno di qualche altro programma) si maschera come tale aggiungendosi all'elenco delle estensioni?

E se Greasemonkey è già installata che succede?

Ancora una volta, secondo me, l'informazione non viene data completamente.

[cecca]

In effetti il rischio con gli script di Greasemonkey è reale... E quindi direi di usare molta cautela per vedere quali si scaricano e da dove...

Mi consola che l'articolo riporti le mie stesse conclusioni anche se, a mio avviso, manca la citazione di extenzilla.org che localizza in italiano le estensioni.. e quindi offre gli stessi livelli di sicurezza di addons.mozilla.org con in più il vantaggio di sapere dove andare a prendere i traduttori...

[Underpass]

http://www.bitdefender.co.uk/NW900-uk--BitDefender-detects-novel-approach-to-stealing-web-passwords.html

Ecco il punto importante:

This latest e-threat – called Trojan.PWS.ChromeInject.A – is intended to be delivered onto a compromised computer system by other malware for subsequent download into Mozilla Firefox's Plugin folder. Once installed it gets to work every time Firefox is started.

Ossia: un sistema infettato da un altro agente (quale? come?) si predispone per scaricare automaticamente questo ennesimo malware che si maschera da estensione.

Per cui l'infezione non viene contratta installando un'estensione.

Almeno da quanto ho capito io.

[Godai71]

Anche se i poveri traduttori non sempre sono in grado di verificare la parte attiva di una estensione...

[indigo]

Tanto vale attingere alla fonte

A password stealing trick masquerades as a Firefox Plugin, to filter ‘sent’ login credentials

A new type of malware designed to harvest web passwords has been detected in-the-wild by BitDefender’s antivirus research labs. This latest e-threat – called Trojan.PWS.ChromeInject.A – is intended to be delivered onto a compromised computer system by other malware for subsequent download into Mozilla Firefox's Plugin folder. Once installed it gets to work every time Firefox is started.

According to BitDefender researchers, the Trojan filters data sent by the victim to a large number of designated banking websites which are used everyday in the UK for online shopping and financial transactions.

Harvested login credentials will be sent to a web address similar to [removed]eex.ru. Both the domain and the hosting server are located in Russia, which points to the origins of this latest e-threat.

“In order to stay safe, home computer users are advised to install effective Internet Security protection and make sure they are updated regularly, to ward off these attempts,” says Viorel Canja, head of BitDefender anti-virus lab.

For further details on the latest malware detected in the wild, please visit BitDefender’s Defense Portal site.

Non specifica se per l'installazione si debba consentire. Quindi gli articoli sono, come al solito, imprecisi.

edit: @Underpass- sic!

[Underpass]

Chi mi conosce un po', sa che il mio secondo nome è Johnny Mnemonic

Questo discorso, nella stessa identica maniera, si propose qualche tempo fa:

http://forum.mozillaitalia.org/index.php?topic=19934.0

Quindi: un sistema intr...ato di suo può compromettere anche il funzionamento di Firefox.
E mi pare quasi il minimo, direi.

[indigo]

Comunque ribadisco, se è una cosa seria finisce nella blocklist e tanti saluti alle vulnerabilità..

[ilgazza]

grazie per le delucidazioni, cmq non ho scaricato quella estensione però era per essere preparato grazie a tutti