Nuovo ransomware ruba i dati di PayPal con un link di phishing nella nota di riscatto

Che i ransomware non godano più "della forma" della quale godevano qualche anno fa è un dato di fatto: che ormai siano altri i tipi di attacco preferiti dai cyber criminali è anch'esso un fatto, confermato dalle statistiche di rilevamento e dai report di praticamente tutti i maggiori vendor di soluzioni antivirus. Questo però, come abbiamo ribadito più volte, non significa che la minaccia dei ransomware sia "estinta" o che non vi siano ancora nuove tecniche di attacco in sperimentazione. 

Proprio di questo, di una nuova tecnica di attacco, parliamo a riguardo di un ransomware ancora in sviluppo che è stato individuato dai ricercatori di MalwareBytes. Il ransomware in sé non manifesta alcuna particolarità, fatta eccezione per la nota di riscatto, che contiene un link ad una pagina di phishing di PayPal. Il tentativo è quello, ovviamente, di massimizzare il profitto conseguente all'attacco: non solo quindi l'estorsione di denaro per riportare in chiaro i file criptati, ma anche il furto dei dati della carta di credito della vittima e, in caso di clic, anche delle credenziali PayPal. 

La nota di riscatto

La particolarità del ransomware è appunto quella di concedere la possibilità di pagare sia col sistema classico, quindi attraverso il solito pagapagare usando PayPal, sarà reindirizzato verso un sito di phishing finalizzato al furto delle informazioni della carta di credito come delle credenziali di PayPal. Nelle foto sotto è visibile la nota di riscatto
mento in Bitcoin o altro tipo di criptovaluta, sia tramite PayPal. Se l'utente sceglie di

La nota di riscatto - Parte 1 e Parte 2. Fonte: Bleepingcomputer.com

La pagina di phishing alla quale le vittime vengono reindirizzate è, effettivamente, una buona imitazione della pagina legittima di PayPal: caratteristica essenziale per indurre le vittime a inserire senza sospetti le proprie credenziali. 

La pagina di phishing. Fonte: Bleepingcomputer

L'unica differenza con la pagina legittima di PayPal è che, una volta che la vittima ha inserito le credenziali, queste non vengono affatto inviate al sito PayPal.com, ma all'indirizzo http://ppyc-ve0rf.890m.com/s2[.]php, che a sua volta mostrerà un altro form per richiedere l'indirizzo e altre informazioni personali. Una volta che la vittima ha inserito tutte le informazioni richieste, la pagina di phishing visualizzerà un avviso dove si afferma che l'account è stato bloccato, quindi procedere al redirect sulla normale pagina di accesso a PayPal. 

Qualche contromisura possibile

E' evidente come i cyber criminali cerchino ormai metodi sempre più furbi e ben congegnati per truffare gli utenti. Una buona contromisura a questo tipo di truffe può essere l'abilitazione dell'autenticazione a due fattori su PayPal: un livello di protezione aggiuntiva non di poca importanza. 

Oltre a ciò occorre che gli utenti siano vigili e attenti: nel caso in cui tu abbia ricevuto una email simile e non sia possibile distinguere tra una email originale e una falsa, la tecnica migliore è accedere direttamente al sito web di PayPal ignorando qualsiasi link contenuto nel corpo email. Il vero sito di PayPal ha una firma verde verificata, come si vede sotto

La firma verificata del sito di PayPal