Notizia Precedente
iPhone con wireless Li-Fi?

Il malware che fa finta di essere Google

Naviga SWZ: Home Page » News
News del 14 Febbraio 16 Autore: Pinter
Ransom32. Questo ransomware è arrivato al "successo" diffondendosi tantissimo in Italia, seguendo una campagna di distribuzione molto arguta che lo maschera da file di installazione di Chrome.

La rete di analisi di ESET ha scoperto che l´Italia è particolarmente sensibile a questa variante di Ransomware. I vettori di infezione sono i soliti: campagne di spam, siti compromessi, trojan downloader e così via, ma quello che trae in inganno gli utenti è proprio il fatto che assomigli al popolare browser di Google.

Aprendo la schermata delle proprietà del file si vede subito che manca la firma digitale e che i campi relativi a nome e versione del file sono stati cancellati, ma gli utenti meno smaliziati non hanno molte armi per capire che si tratta di un falso.

Anche le dimensioni (45 megabyte) sono corrette, ma una volta lanciato il finto Chrome provvede a installarsi sulla macchina, assicurandosi di venir eseguito a ogni riavvio di Windows.

Poi inizia a criptare i file più utilizzati (j6 .txt, .doc, .jpg, .gif, .AVI, .MOV e MP4) con una codifica AES e chiave a 128 bit.

Il malware che fa finta di essere Google - immagine 1

Un modo di agire tipico, ma con una particolarità in più. Da quel che risulta dai dati di Live Grid, la rete di monitoraggio del malware di ESET, sembra che l´Italia sia il Paese più bersagliato da questo ransomware.

Ben il 6,35% delle infezioni di Filecoder.NFR, come viene chiamata questa versione, tra tutte quelle rilevate a livello mondiale ha colpito computer posti sul nostro territorio nazionale.

Il motivo è probabilmente da ricercare nel fatto che Ransom32 viene "offerto" dai cybercriminali come un servizio a pagamento, rendendo più semplice iniziare le campagne di diffusione e qualche nostro connazionale ne ha approfittato.

Attraverso un sito Internet nascosto dietro alla rete di anonimizzazione TOR, si può personalizzare il messaggio collegato al malware, decidere l´ammontare di bitcoin da richiedere come riscatto, specificare il portafoglio di bitcoin sul quale depositare il maltolto e di tutto il resto si occupa il sito, fornendo il file preconfezionato già pronto da distribuire.

I gestori del "servizio" chiedono il 25% di commissione su quanto viene raccolto tramite i riscatti, rischiando pochissimo in prima persona dal momento che non sono loro a diffondere il ransomware, ma chi lo commissiona.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

News Collegate