Cryptolocker si finge bolletta TIM

Virus Cryptolocker nella finta bolletta TIMNuova ondata di trojan Cryptolocker, questa volta veicolati tramite mail di phishing che invita a scaricare una bolletta TIM Telecom online, a poca distanza di tempo dall’infezione che utilizzava finti siti ENEL. I domini utilizzati al momento per il phishing sono tim-bolletta.nettim-bolletta.com (i link sono sicuri e portano alla copia del whois) mentre il download del malware viene indirizzato verso hosting Yandex.

Phishing per Cryptolocker su domini reg.ruEntrambi i domini risultano essere stati registrati il 17 agosto 2015 tramite registrar russo Reg.ru, con dati di registrazione whois anonimizzati tramite Privacy Protection Service (per quanto in genere vengano comunque utilizzati dati di registrazione falsi). Al momento i siti web sono ancora attivi sugli IP 93.95.102.229 su hosting JSC Mediasoft ekspert, ma si spera che presto vengano chiusi e rimossi. Potete comunque accedere a una copia del sito – a fini didattici e senza correre rischi – agli indirizzi https://archive.is/jkJ3d e https://archive.is/qSzge.

Pagina di phishing Cryptolocker vista da Sistema Operativo Mac OS XLe pagine da cui si scarica il virus come al solito contengono una verifica dello user agent, cioè l’informazione passata dai browser ai server che ospitano i siti web e che comunica il tipo di Sistema Operativo, la lingua, il browser con relativi plugin installati. Il controllo viene eseguito perché gli utenti Mac non sono infettabili da questa versione di Cryptolocker: quando un Mac OS visita il link contenuto nella mail, al posto del sito di phishing gli viene mostrata una pagina bianca con la scritta “Questa pagina web non supporta browser mobile/MAC. Si prega di utilizzare il browser del PC per visualizzare il contenuto“. Anche l’indirizzo IP del visitatore viene analizzato, così da permettere agli indirizzi IP italiani di visualizzare la pagina di phishing, mentre gli indirizzi IP esteri vengono reindirizzati su Google.

Richiesta di riscatto su Tor per infezione da Cryptolocker che si finge bolletta TIMAnche in questo caso, per riavere indietro i propri documenti – che sono diventati dei file criptati dal virus – viene richiesto un riscatto in bitcoin, la valuta virtuale che permette una sorta di pseudo-anonimato dietro il quale si riparano i delinquenti che diffondono Cryptolocker. La pagina Tor che viene utilizzata per richiedere il riscatto in bitcoin è 4nzchpngrtdhn27u.onion, s’intitola, come al solito, “Acquista decrittazione e ripristinare i file” e contiene informazioni sul portafoglio bitcoin verso il quale eseguire il pagamento del riscatto.

Si ringrazia JamesWT di Malware Hunter Team per le puntuali segnalazioni al nostro sito e per le notifiche che inoltra a Yandex, che prontamente rimuove i download del malware ben prima della chiusura dei domini web, più difficili da ottenere, permettendo così di risparmiare guai a migliaia di potenziali vittime. Sarebbe buona norma che tutti segnalassero a produttori di Antivirus, ai gestori dei domini e ai provider di spazio in Cloud la presenza di malware sui loro servizi.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.