Black Friday e consegne di Natale: attenzione ai ransomware!

Happy RansomwareSi avvicinano la settimana del Black Friday e il mese del Natale, ogni anno gli acquisti online tendono ad aumentare così come le consegne a casa o in ufficio, con corrieri che sempre più spesso comunicano ai destinatari tramite posta elettronica informazioni circa l’avvenuta spedizione dei pacchi, i numeri di tracking, i ritardi, i problemi di consegna.Ritornano quindi i pericoli delle email di phishing che si fingono messaggi di tracking con numeri di spedizione provenienti dai corrieri ma che invece contengono ransomware.

Quest’anno più che sentirci augurare un “Happy Cristmas” rischiamo infatti un ironico “Happy Ransomware”, data ormai l’enorme quantità di ransomware in circolazione. Prepariamoci quindi a ricevere un numero maggiore di finti avvisi di spedizione da parte di corrieri, in questo periodo, ricordando di:

  • non aprire allegati;
  • non visitare link se non quelli ufficiali (cerchiamo su Google nel dubbio);
  • non scaricare eventuali PDF, ZIP, EXE, JS, etc… proposti dai siti web (i siti dei corrieri in genere .mostrano il tracking online e non fanno scaricare PDF);
  • fare sempre il backup dei nostri dati più importanti su dischi esterni sconnessi dal PC;
  • installare e tenere comunque aggiornato un buon antivirus, antimalware o i più recenti antiransomware/anti-apt.

Hanno già infatti iniziato a contattarci le prime vittime di una nuova ondata di phishing che si finge provenire da SDA EXPRESS e tramite email con avvisi di spedizione avvisa di “stampare l’etichetta di spedizione e mostrarlo in ufficio postale più vicino per ottenere il pacchetto“, minacciando che “se il pacco non viene ricevuto entro 3 giorni lavorativi Sda Express ha il diritto di chiedere un risarcimento da voi per esso sta tenendo nella
quantità di 68,28 EUR per ogni giorno di conservazione“. Le mail di phishing veicolano il ransomware Crypt0l0cker e contengono persino una finta informativa sulla privacy e il logo del corriere caricato su di un sito WordPress bucato, per rendere il tutto più credibile.Ransomware Crypt0l0cker tramite phishing SDA Express

Aprire la mail non è in sé rischioso, è però importante non cliccare sul link “Scarica etichetta di spedizione” e non scaricare l’archivio ZIP che viene proposto e, nel caso sia già stato scaricato, non cliccarci sopra per evitare di decomprimerne il contenuto e avviarlo. Il link infatti porta – nel caso dell’infezione da phishing SDA Express – a un sito web sul quale è stata “bucata” tramite hacking la piattaforma WordPress così da inoltrare verso un dominio registrato ad hoc, sda-express32.org, che contiene il vero e proprio payload.

Pagina con il logo SDA Poste Italiane che inoltra a sito di download CryptoLocker

A questo punto, viene proposto il download dell’archivio ZIP “pacchetto_39728.zip” contenente il file in javascript “pacchetto_39728.js” che provvede, a sua volta, a infettare il sistema, cifrando i documenti aggiungendo l’estensione “.ENC” al nome dei file e chiedendo un riscatto in bitcoin.

Per chi volesse testare il sample dell’infezione citata nel presente articolo, il file ha MD5 9ff0cf9a419f23abb05eb05f8322e8a6 e l’analisi è visionabile su VirusTotal, Hybrid Analysis o Malwr.

Se siete già stati infettati, utilizzate il modulo di segnalazione per inviarci i dati che permetteranno di capire se è disponibile un metodo gratuito di decifratura dei dati criptati.

 

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *