Secondo le ultime analisi di Symantec, gli autori di malware stanno utilizzano un meccanismo di Firefox, sconosciuto ai più, il quale permette di caricare le estensioni del browser in modo invisibile all'utente. Symantec ha anche osservato un incremento di nuovi malware in grado di installare delle BHO (Browser Helper Object) per Explorer, estensioni per Firefox e script per Opera, malevoli e con lo scopo finale di reperire più informazioni possibili dal computer vittima, facendo così pensare ad un cambio di strategia da parte dei "bad guys" teso ad ottenere le nostre informazioni sensibili, come ad esempio l'accesso al nostro conto corrente online, che logicamente è utilizzato via browser.

La nuova strategia di attacco, scoperta da Candid Wüest, senior engineer in Symantec Switzerland, e da Elia Florio, funzionario del dipartimento del Garante della Privacy italiano, è molto semplice ma allo stesso tempo terribilmente efficacie: il primo passo prevede l'inserimento dell'estensione malevola all'interno delle applicazioni utilizzabili dal browser, per cui attenzione a scaricare plug-in poco noti o aprire gli allegati delle classiche mail ricevute da sconosciuti; il secondo passaggio è effettuato dallo stesso ignaro utente, il quale provvederà ad attivare il malware ogni volta che userà il browser, il malware riporterà all'attaccante tutte le informazioni reperite attraverso questo mezzo. Nel caso specifico di Firefox, è presente un maggiore rischio, visto che frequentemente l'estensione malevola non è mostrata nella finestra dei componenti aggiuntivi installati (Add.on) e conseguentemente l'utente non è a conoscenza della sua esistenza, oltre che impossibilitato dal rimuoverla. Notare la fine strategia dell'attacco diverso dal solito che si concentra sulle informazioni passate attraverso il browser e non sull'intero computer come avveniva fino ad oggi, tra queste informazioni possono essercene di "interessanti" come un numero di carta di credito o una password per autorizzare una transazione finanziaria.

Firefox ha risposto a questo attacco lanciando la versione 3.6.x, che è scaricabile ormai da qualche settimana, questa versione prevede di bloccare l'introduzione di software di terze parti all'interno della directory "componets", dove è presente gran parte del codice proprietario di Mozilla, obbligando così l'estensione esterna ad essere visibile tra quelle installate. Purtroppo questa soluzione porta con sè due grossi problemi: il primo è che se anche l'estensione è visualizzata come esterna questo non esclude che non sia "malevola", il secondo è che molti dei plug-in disponibili per Firefox hanno smesso di funzionare con la nuova release, obbligando così molti utenti abituati ad utilizzarli ad effettuare il downgrade alla versione 3.5.x e quindi ritornando ad essere facilmente attacabili. Il sottoscritto, per esempio, ha effettuato il downgrade perchè con la versione versione 3.6.2 (l'ultima versione disponibile) di Firefox non riesce più ad aprire le console delle macchine virtuali gestite con VMWare Server, perchè i due plugin qui sotto riportati hanno smesso di funzionare:

Per chi volesse approfondire consiglio di guardare la presentazione di Wuest - Florio fatta al VB2009 in Ginevra, che potete trovare qui: www.virusbtn.com/pdf/conference_slides/2009/Wueest-Florio-VB2009.pdf

Notate che il paper è del (Settembre) 2009 mentre l'ammissione pubblica sull'esistenza del problema da parte di Mozzilla è dei primi di Febbraio 2010, attraverso questa nota: blog.mozilla.com/addons/2010/02/04/please-read-security-issue-on-amo

In ogni caso consiglio a tutti di stare in allerta indipendentemente dal browser usato, mantenere sempre l'antivirus funzionante e aggiornato, visto che questi ultimi sono in grado di scovare le estensioni malevole per i più comuni browser.