Ransomware con phishing su inchiesta della Procura della Repubblica

Ransomware inviato tramite phishing che si finge mail del Procuratore della RepubblicaQuesta volta i delinquenti hanno giocato pesante: per veicolare un ransomware hanno assunto l’identità del “Procuratore della Repubblica presso il Tribunale ordinario” inviando a migliaia di vittime italiane un messaggio nel quale si informa il malcapitato di essere sotto inchiesta e che i suoi beni verranno “posti in arresto con l’accusa di mancato pagamento delle imposte e concorso in riciclaggio di denaro”. Ovviamente la mail è un tentativo di phishing, la Procura della Repubblica non ha nulla a che fare con queste mail e i link dai quali la vittima sarà invitata a scaricare il documento relativo all’inchiesta che lo riguarda contengono malware, in particolare un ransomware di quelli che criptano i documenti del proprio PC e chiedono un riscatto.

La segnalazione arriva da numerose fonti, tra le quali la Procura di Udine che ha già provveduto ad avvisare quanti potrebbero correre il rischio di diventare vittime dell’attacco di phishing finalizzato alla diffusione di ransomware.

La mail di phishing contiene un link a un finto documento relativo all’indagine e allusioni a sentenza di condanna, arresto, reclusione, confisca dei beni, finalizzate a impaurire la vittima e scaricare il finto documento. Il link punta verso siti web bucati che, a loro volta, redirigono la connessione (dopo aver verificato IP di provenienza e user agent del browser che deve essere compatibile con Windows) verso uno dei seguenti siti:

  • procura-italia.com
  • procura-italia.net

Visitando il link con un Sistema Operativo diverso da Windows (ad esempio con Mac OS o con Linux) o con un indirizzo IP non italiano, si ottiene un redirect verso la pagina di Google oppure la visualizzazione del messaggio “This webpage does not support mobile/MAC browser. Please use PC browser to view the content”, che invita a visitare il link con un PC con Windows. Il motivo di questo filtro è che il cryptovirus infetta solamente sistemi Windows e i delinquenti filtrano le vittime in base alla nazionalità, in questo caso italiana.

Il ransomware filtra utenti Mac OS o Linux

Su questi siti avviene il download di ciò che non è in realtà un documento ma un archivio ZIP contenente un javascript offuscato che poi scarica il ransomware e contemporaneamente viene mostrato per qualche secondo il logo della Repubblica Italiana.

Ransomware che si finge inchiesta della Procura della Repubblica

Mentre l’utente visualizza la pagina di “Download in Corso”, con il logo della Repubblica Italiana”, visualizza sul suo browser una finestra di download di un archivio ZIP che contiene, al suo interno, un file con estensione JS contenente il vero e proprio dropper in javascript.

Dropper in javascrip del ransomware che si finge Procura della Repubblica

Che prema OK o CANCEL, la vittima viene portata tramite redirezione http sul sito ufficiale del Ministero della Giustizia, per dare l’impressione di ufficialità del documento eventualmente scaricato che il malcapitato tenterà poi di aprire infettando così con un trojan il proprio PC e ritrovandosi i documenti criptati e una richiesta di riscatto per poterne riavere la disponibilità.

Sito originale del Ministero della Giustizia

Questo il contenuto della mail che ha come oggetto “Nome Cognome sei sotto inchiesta” ed ha come mittente “Procura della Repubblica” (con indirizzi email NON della Procura della Repubblica e che NON provengono dalla rete istituzionale).

La presente per comunicarLe che il Suo patrimonio immobiliare, così come il Suo conto corrente bancario, verranno posti in arresto con l’accusa di mancato pagamento delle imposte e concorso in riciclaggio di denaro, ad effetto della causa
1234567
L’arresto entra in vigore dal 27.05.16
Lei potrà prendere visione della causa 1234567 cliccando sul link
In questo documento Lei ha la possibilità di trovare informazioni su come ricorrere in appello, il nominativo del giudice inquirente per la causa che La riguarda, la data e il luogo del dibattimento.
Nel caso in cui Lei non si presentasse al dibattimento, lo stesso avrà luogo anche in Sua assenza.
In caso di sentenza di condanna, Le verrà confiscata ogni proprietà e rischia una condanna fino a 15 anni di reclusione.

Data Protection e Privacy

Non si può pubblicare una lettera privata, anche se inviata via e-mail a più persone, senza il consenso dell’autore e dei destinatari. Il principio è stato ribadito dal Garante in seguito al ricorso presentato dal capo di un’associazione a carattere religioso, che aveva lamentato la pubblicazione di una e-mail su un quotidiano a diffusione nazionale, a lui indirizzata, contenente fatti confidenziali e riguardanti la propria vita intima. Nell’accogliere il ricorso, l’Autorità ha ordinato la cancellazione della lettera dall’edizione on line del quotidiano.

I dati del DNS del dominio “procura-italia.com” – registrato tramite credenziali protette da whois privacy – sono i seguenti:

; <<>> DiG 9.8.3-P1 <<>> procura-italia.com any
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32241
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;procura-italia.com. IN ANY

;; ANSWER SECTION:
procura-italia.com. 3599 IN SOA ns1.procura-italia.com. ahu.procura-italia.com. 2015030101 1800 900 1209600 360
procura-italia.com. 3599 IN NS ns1.fullhause.cc.
procura-italia.com. 3599 IN A 46.183.165.186
procura-italia.com. 3599 IN NS ns2.fullhause.cc.

;; Query time: 397 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu May 26 13:41:29 2016
;; MSG SIZE rcvd: 144

Il server che ospita i siti web dove viene fatto il download del dropper è ospitato su indirizzo IP 46.183.165.186, con geolocalizzazione a Mosca, in Russia, presso operatore CARAVAN-TELECOM (caravan.ru).

Hosting caravan.ru

Il dropper ZIP che abbiamo testato possiede i seguenti valori hash:

  • MD5: fc1b59b3c38bedef550d690580807a3b
  • SHA1: 0e423635a5b6f3fcb1d78d70a16a5d616bd5c047
  • SHA256: 38b78f004887307788cc429d7c1de3fd19db4d03958a5221d79f36c9899cd602

Il javascript JS contenuto nell’archivio ZIP possiede i seguenti valori hash:

  • MD5: e553b8ccc10890e1e64ad816cbdbc925
  • SHA1: ba6de0aecc66d8081e48c67af1dcb19aae9dc6d0
  • SHA256: c2b51cdcecc163731f75c90fe3778d5f45ed497e66d83f34630af56770780a00

Chi fosse interessato ad analizzare il dropper può visionare le analisi realizzate da VirusTotal, Malwr e Hybrid Analysis dalle quali è possibile fare download del malware, ovviamente con le dovute cautele.

Sono in corso accertamenti per identificare il tipo di ransomware e i domini utilizzati dai delinquenti per veicolare il cryptovirus, aggiorneremo periodicamente il post man mano che otterremo risultati.

Aggiornamento del 31 maggio 2016

Nuovi domini utilizzati per ospitare i siti di phishing, registrati ieri 30 maggio 2016 tramite NameSilo con Whois Privacy e puntamento su IP 185.66.13.71 con hosting russo “LLC Internet Tehnologii”.

  • procura-italia24.net
  • procura-italia24.com

Aggiornamento del 1 giugno 2016

Nuovi domini utilizzati per ospitare i siti di phishing, registrati il 1 giugno 2016 tramite NameSilo con Whois Privacy e puntamento su IP 212.92.97.33 con hosting russo “CEANET”.

  • italia-procura.net
  • italia-procura.com

Aggiornamento del 9 giugno 2016

Cominciano a essere irraggiungibili i domini che ospita(va)no il ransomware che si diffonde tramite il phishing d’invito a presentarsi come persona sottoposta alle indagini da parte del “Procuratore della Repubblica”, citando l’art. 375 c.p.p. e utilizzando il logo della Repubblica Italiana.

 
– italia-procura24.[net|com]
– procura-italia.[com|net]
– procura-italia24.[com|net]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *