Cryptolocker in Turchia con phishing su Turkish Cargo

Pagina di Phishing che si finge Turkish CargoNuova campagna di trojan Cryptolocker in Turchia diffusa tramite phishing su siti che si fingono parte della compagnia Turkish Cargo. La versione del trojan è identica a quella che ha colpito l’Italia pochi giorni fa, in cui Cryptolocker si fingeva bolletta TIM.

Come al solito, il ransomware si avvale di una pagina di phishing che prima di permettere di scaricare il virus filtra i visitatori in base all’indirizzo IP (vengono ammessi soltanto IP Turchi o di zone limitrofe) e dello user agent (vengono ammessi soltanto PC con Windows). Tutti gli altri visitatori (di paesi esteri o con Linux o Mac OS) visualizzeranno, al posto della pagina di phishing, il sito di Google. Anche in questo caso il ransomware chiede il riscatto in bitcoin e lascia all’utente pochi giorni per il pagamento, raddoppiando la cifra se la vittima di Cryptolocker lascia passare troppo tempo senza pagare il riscatto.

I domini coinvolti nel phishing Turkish Cargo sono, per ora, i seguenti, registrati su Reg.ru e ospitati su classe di IP 93.95.0.0/16 su provider “JSC Mediasoft ekspert”:

  • turkishcargo.net
  • turk-cargo.com
  • turkkargo.net

Il download del trojan dropper Cryptolocker avviene su indirizzo del servizio di file storage online Yandex.

Analisi con VirusTotal del Cryptolocker che si diffonde via phishing Turkish CargoFino a pochi minuti fa, gli antivirus non rilevavano la minaccia Cryptolocker nel file “TurkishCargo_Adres_Form.exe” scaricato da Yandex, al momento alcuni antivirus cominciano ad inserire i dati del trojan nelle loro firme.

L’analisi dinamica del file ci mostra chiaramente il comportamento malevolo del trojan Cryptolocker, con 11 indicatori sospetti tra i quali il tentativo di contattare i domini “klori.org”, “odohor.net”, “poleklori.org”, “s.org”.

Come al solito, un ringraziamento a JAMESWT di Malware Hunter Team per la pronta segnalazione. Consigliamo a tutti di dare un’occhiata al loro ottimo servizio CyberTracker che fornisce aggiornamenti in tempo reale su Malware Packs, siti di Phishing, server C&C (Command and Control), Email e link malevoli.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

This site uses Akismet to reduce spam. Learn how your comment data is processed.