Locky distribuito tramite file SVG su Facebook Messenger

Ransomware Locky distribuito su Facebook Messenger via SVG infettati con downloader NemucodIl ricercatore di sicurezza Bart Blaze ha rilevato una nuova campagna di diffusione del ransomware Locky veicolato tramite Facebook Messenger e il download Nemucod, che fa uso di file .SVG per diffondere l’infezione. La diffusione del ransomware avviene tramite lo scambio del file “Photo_9166.svg” su Facebook Messenger.

I file SVG come il documento “Photo_9166.svg” diffuso via Facebook dal cryptovirus sono documenti grafici che possono contenere al loro interno del codice JavaScript che viene aperto direttamente nei browser delle vittime, attivando il download del vero e proprio payload che si occupa d’infettare il computer, criptare i documenti e chiedere un riscatto in bitcoin. Il file”Photo_9166.svg” contiene, come si vede qui di seguito, HTML e javascript offuscato.

Photo_9166.svg Locky Ransomware tramite NemucodOltre a rimanere infettate, le vittime vengono redirette verso una finta pagina di YouTube che propone l’installazione di una estensione di Chrome, chiamata Ubo o One, che si occupa di diffondere il ransomware utilizzando il profilo Facebook della vittima.

Se siete stati infettati, potere rimuovere l’estensione malevola installata su Google Chrome, cliccando sul menù con il disegno della chiave inglese o dei tre punti, quindi su “Strumenti” → “Estensioni” e cercando l’estensione Ubo o One. A quel punto, selezionare “Disinstalla” per rimuovere l’estensione malevola da Chrome.

In rete si trovano alcuni sample del trojan Locky che tramite Nemucod si diffonde con il nome di “Photo_9166.svg” via Facebook, ad esempio su VirusTotal e su Hybrid Analysis, in file con hash MD5 a5c51da26364442b10e784932944f4a7 e c82c05017b12899d673f78c744ff8c5d.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *