Il gruppo di cyber-criminali dietro a VenusLocker, un ransomware che non ha nei fatti mietuto numerose vittime, ha deciso di concentrarsi sulla distribuzione di Miner per Monero.
Questo switch non è per nulla una sorpresa: il prezzo dei Monero è passato dai 132 dollari del 21 di Novembre ai 457 di oggi, 21 Dicembre. Nei mesi scorsi questo cambio è stato registrato numerose volte: Zealot, Hexmen, Loapi e l'ondata di attacchi di brute-force che ha sconquassato Wordpress, sono tutti nuovi tentativi di guadagno messi in atto da cyber-criminali che trovano adesso più conveniente darsi al mining di criptovaluta che seguire il lungo e complicato processo di diffusione-infezione-richiesta del riscatto-pagamento che sta alla base dei profitti garantiti dai ransomware. Una tendenza già notata e in crescita (come abbiamo scritto qui e qui).
La rivalutazione continua delle criptovalute, in minor misura Ethereum, ma sicuramente impressionate se invece ci riferiamo al Bitcoin, è attualmente lo stimolo principale che ci fa affermare che è piuttosto verosimile aspettarsi un 2018 flagellato dai miner, per disgrazia delle CPU dei nostri PC e delle bollette elettriche.
La rivalutazione continua delle criptovalute, in minor misura Ethereum, ma sicuramente impressionate se invece ci riferiamo al Bitcoin, è attualmente lo stimolo principale che ci fa affermare che è piuttosto verosimile aspettarsi un 2018 flagellato dai miner, per disgrazia delle CPU dei nostri PC e delle bollette elettriche.
La campagna di distribuzione del malware avviata dalla crew di VenusLocker colpisce attualmente solo utenti Sud Coreani, tramite una campagna di spam piuttosto virulenta che sta colpendo moltissimi utenti grazie all'efficacia del messaggio di ingegneria sociale contenuto nella email: la mail infatti simula un gravissimo alert annunciante una fuga di dati personali sensibili. L'email contiene un archivio allegato che nasconde al suo interno l'eseguibile del malware. La particolarità è che l'archivio non è nel solito formato .zip, ma nel formato .egg assai diffuso in Corea del Nord ma impossibile da scansionare per la maggior parte degli antivirus: la maggior parte degli antivirus quindi non riesce a individuare l'eseguibile all'interno dell'archivio. Il .exe installa XMRig, una applicazione di mining per Monero legittima, ma preconfigurata per minare Monero per la crews VenusLocker.
Solitamente non è per nulla facile, per i ricercatori di sicurezza, individuare operazioni di switch dal payload di un malware ad un altro: in questo caso però le analisi hanno fatto emergere che i metadata e i percorsi target dell'eseguibile del miner sono praticamente identici ai binari di VenusLocker.
Solitamente non è per nulla facile, per i ricercatori di sicurezza, individuare operazioni di switch dal payload di un malware ad un altro: in questo caso però le analisi hanno fatto emergere che i metadata e i percorsi target dell'eseguibile del miner sono praticamente identici ai binari di VenusLocker.
Fonte: Bleeping Computer |
VenusLocker è stato un fallimento
Il gruppo ha cambiato modalità e ciò non stupisce, confermano da Bleepingomputer: il ransomware VenusLocker non è mai stato al centro di una campagna di distribuzione massiva e non è mai riuscito ad infettare un numero tale di utenti al punto di diventare profittevole per la crew. Il ransomware è stato individuato ai primi di Agosto del 2016, ha fatto registrare una breve ricomparsa ai primi di Dicembre 2016 e poi ha tentato due re-branding (LLTP Ransomware e Trump Locker) prima di sparire del tutto.
Nessun commento:
Posta un commento