Girovagando per il Web mi capita di incontrare, di solito dopo essere stato reindirizzato alcune volte tra i siti più strani, una pagina come questa che sapeva di malware lontano un chilometro. Il sito getsomespecials.com non è raggiungibile direttamente, ci si arriva solo dopo essere stati "rimbalzati" in varie pagine truccate appositamente.
Dato che sono molto curioso, non potevo esimermi dal cliccare Download Now e dare il permesso per l'installazione di questo componente aggiuntivo in Firefox.
E procediamo con l'installazione di FlowerBag che vuole alcuni permessi.
Sino ad ora si comporta come se fosse una normale estensione del browser, solo che il nome strano, la mancanza di qualsiasi informazione chiara e il sito di provenienza dovrebbero far suonare molti campanelli d'allarme.
In apparenza, dopo l'installazione di questa estensione nel browser non succede niente, navigo normalmente, non vengo reindirizzato, però se tento di aprire la pagina di Firefox delle estensioni non ci riesco e la cosa è decisamente sospetta.
Ci si può arrivare, per vederla e rimuoverla, soltanto dalla modalità provvisoria di Firefox e si scopre che "FlowerBag is the most powerfull app for manage our system".
Cosa voglia dire di preciso o cosa faccia realmente l'estensione non è dato saperlo.
Nella prima foto dell'articolo vedete che ci sono dei link che rimandano alla Privacy Policy e ai Terms of use del sito fbunseen.org che aveva distribuito una estensione chiamata Unseen for Facebook che era stata rimossa dallo store di Chrome perché giudicata un malware.
Non saprei dire se l'estensione è la stessa o sfrutta soltanto i link per darsi una parvenza di credibilità.
Attenzione perché cercando nello store di Chrome ci sono delle altre estensioni dal nome simile ma sono sviluppate da altre persone.
Analizzando il traffico del browser con Fiddler si vedono numerose chiamate a Facebook e a siti molto strani. Traffico che scompare appena si disinstalla l'estensione dal browser.
Controllando il sistema operativo con alcuni anti malware non ho trovato nessuna traccia di infezioni.
Invece analizzando, almeno per quello che posso, i file che compongono l'estensione trovo conferma che il target è Facebook, cosa siano poi in grado di fare i vari file .js, se limitarsi a un controllo di quali pagine visitate o siano magari in grado di rubarvi utenza e password, questo non sono in grado di dirvelo.
Conclusioni
Per fare prove di questo genere, con estensioni (o file) molto sospette e provenienti da fonti non ufficiali, non dovete mai affidarvi al vostro profilo reale di Firefox (o di Windows), ma crearne uno apposito, usare Sandboxie o, ancora meglio, crearvi una macchina virtuale con VirtualBox, così da isolarvi completamente dal vostro sistema operativo reale.
Se siete caduti nel tranello e avete fatto un login a qualche sito o servizio, la prima cosa da fare è cambiare le password utilizzate prima che vi venga rubato l'account, soldi o qualche dato riservato.
