Un ricercatore del SANS Insitute Internet Storm Center ha dato notizia di aver individuato circa 2 settimane fa un significativo incremento di campagne di email di spam finalizzate alla diffusione del ransomware NemucodAES e del trojan Kovter.
Queste campagne sono ancora in corso: attenzione a non aprire email dubbie o provenienti da mittenti sconosciute. Evitare sopratutto l'apertura di eventuali archivi allegati!
Le email di spam
Le email di spam sono di vario tipo: le prime individuate dal SANS Institute sono email di spam provenienti da un finto account mail di UPS (United Parcel Service), il famoso corriere espresso statunitense. Queste email contengono archivi .zip contenenti file javascript finalizzati al download
e all'installazione dei malware Kovter e NemucodAES.
La maggior parte di queste email vengono bloccate dai filtri antispam delle varie caselle di posta elettronica, ma la cosa varia dal livello di filtro/blocco spam impostato dall'utente o offerto dal provider.
Alcune di queste email recano i seguenti oggetti:
- “Status of your UPS delivery ID:[numeri casuali]”
- “Problems with item delivery, n.[numeri casuali]”
- “UPS parcel #[numeri casuali] delivery problem”
questi i nomi dei relativi allegati
- [numeri casuali].zip
- UPS-Package-[numeri casuali].zip
- UPS-Label-[numeri casuali].zip
Il ransomware NemucodAES
NemucodAES è una variante del trojan downloader Nemucod, usato per molto tempo come veicolo di distribuzione di ransomware come Locky e TeslaCrypt. Ad oggi invece NemucodAES ha una propria componente ransomware, cioè non scarica malware da un server esterno, ma reca già con sé la componente necessaria alla criptazione dei file. NemucodAES cripta i file della vittima con una combinazione di algoritmi RSA-2048 e AES-128, quindi richiede un riscatto di circa 1.000 euro in Bitcoin per poterli rimettere in chiaro. Non modifica il nome dei file, quindi è riconoscibile essenzialmente dalla richiesta di riscatto, un file .hta che viene salvato nella cartella “AppData\Local\Temp” e un file .bmp che sostituisce la foto del Desktop (foto sotto). Fortunatamente il ransomware NamucodAES è risolvibile: salvo quindi modifiche della versione attualmente in distribuzione, è possibile recuperare i file.
NemucodAES è una variante del trojan downloader Nemucod, usato per molto tempo come veicolo di distribuzione di ransomware come Locky e TeslaCrypt. Ad oggi invece NemucodAES ha una propria componente ransomware, cioè non scarica malware da un server esterno, ma reca già con sé la componente necessaria alla criptazione dei file. NemucodAES cripta i file della vittima con una combinazione di algoritmi RSA-2048 e AES-128, quindi richiede un riscatto di circa 1.000 euro in Bitcoin per poterli rimettere in chiaro. Non modifica il nome dei file, quindi è riconoscibile essenzialmente dalla richiesta di riscatto, un file .hta che viene salvato nella cartella “AppData\Local\Temp” e un file .bmp che sostituisce la foto del Desktop (foto sotto). Fortunatamente il ransomware NamucodAES è risolvibile: salvo quindi modifiche della versione attualmente in distribuzione, è possibile recuperare i file.
Il trojan Kovter
Il trojan Kovter serve a organizzare truffe collezionando falsi clic su siti web o ads, gonfiando il guadagno dei possessori delle pagine e degli ads. Oltre a ciò può permette ai cyber-criminali l'accesso da remoto alla macchina infetta e permette l'installazione di malware aggiuntivi. E' piuttosto difficile per i software antivirus individuarlo, dato che non usa file e resta attivo solo in memoria.
Fonti:
https://isc.sans.edu/forums/diary/NemucodAES+and+the+malspam+that+distributes+it/22614/
Fonti:
https://isc.sans.edu/forums/diary/NemucodAES+and+the+malspam+that+distributes+it/22614/
Nessun commento:
Posta un commento