L'alert del Cert-PA è di stamattina, 9 Dicembre: è in corso, sempre solo contro utenti italiani, una nuova campagna di distribuzione del ransomware FTCode. Le email sono veicolate tramite il circuito PEC e contengono un unico link allegato il cui testo è ripreso dall'oggetto di una precedente email. Nella foto sotto la finta fattura TIM contenuta nell'email
 |
| Fonte: https://www.cert-pa.it/ |
Gli utenti Windows che visitano il link, si trovano a scaricare un archivio .ZIP contenente il dropper del ransomware FTCode. In caso invece l'utente apra l'email da smartphone Android, è indotto ad installare un'applicazione dannosa, derivata dal malware bancario per Android Anubis: anche questa variante sottrae credenziali bancarie e altri dati personali delle vittime.
FTCode in breve
FTCcode è un ransomware del 2013, scomparso dalle scene per oltre 6 anni: è stato individuato di nuovo in diffusione lo scorso Settembre. In poche settimane ne sono state registrate 3 nuove versioni, con svariate modifiche per risolvere bug e per migliorare la capacità di passare inosservato agli antivirus. Viene diffuso solo contro utenti italiani, tramite massive campagne di email di spam trasmesse tramite il circuito PEC. Mira principalmente ad aziende, pubbliche amministrazioni e professionisti: sono oltre 500 gli account email PEC compromessi usati per la diffusione del ransomware. Ad ora nessuna delle versioni di FTcode è risolvibile.
Nessun commento:
Posta un commento