E' stato scoperto un falso sito internet che diffonde il ransomware Locky.
Riportiamo la notizia perchè è utile ricordare che i ransomware ( e i malware in generale) possono essere diffusi in varie maniere:
-tramite exploit kit, sfruttando le vulnerabilità dei software presenti sulla macchina
-tramite allegati diffusi via email
-tramite siti ingannevoli, come in questo caso.
Questo è il motivo per cui aggiornare i software in uso, saper riconoscere le email di spam e di phishing, navigare solo su siti affidabili/ufficiali sono tre regole essenziali per una esperienza di navigazione online in tutta sicurezza.
Che tipo di sito?
Il sito emula piuttosto verosimilmente il sito web di Adobe attraverso cui, solitamente, vengono distribuiti gli update dei plugin di Flash Player.
In realtà, ad uno sguardo attento della pagina, è possibile notare che l'URL della pagina contiene un errore di ortografia ed è ben diverso dall'URL del sito originale.
L'URL della pagina ufficiale per gli update di Flash Player è https://get.adobe.com/flashplayer/
L'URL della pagina fake è fleshupdate.com
L'eseguibile che verrà scaricato sul sito si chiama "FlashPlayer.exe" ed è fornito con icona di Flash Player.
Si, ci sono indizi utili per verificare se il file scaricato è quello ufficiale o quello infetto.
Aprendo le proprietà del falso FlashPlayer.exe sono riscontrabili alcune stranezze: descrizione del file, nome del prodotto, copyright indicano che il file non è prodotto da Adobe, ma da una certa Neuxpower.
E se avvio l'eseguibile?
L'eseguibile installerà il ransomware Locky sul PC della vittima, criptando i file e mostrando, infine, la richiesta di riscatto.
Nessun commento:
Posta un commento