Cryptolocker in Turchia con phishing su Turkish Cargo

Nuova campagna di trojan Cryptolocker in Turchia diffusa tramite phishing su siti che si fingono parte della compagnia Turkish Cargo. La versione del trojan è identica a quella che ha colpito l’Italia pochi giorni fa, in cui Cryptolocker si fingeva bolletta TIM.

Come al solito, il ransomware si avvale di una pagina di phishing che prima di permettere di scaricare il virus filtra i visitatori in base all’indirizzo IP (vengono ammessi soltanto IP Turchi o di zone limitrofe) e dello user agent (vengono ammessi soltanto PC con Windows). Tutti gli altri visitatori (di paesi esteri o con Linux o Mac OS) visualizzeranno, al posto della pagina di phishing, il sito di Google. Anche in questo caso il ransomware chiede il riscatto in bitcoin e lascia all’utente pochi giorni per il pagamento, raddoppiando la cifra se la vittima di Cryptolocker lascia passare troppo tempo senza pagare il riscatto.

I domini coinvolti nel phishing Turkish Cargo sono, per ora, i seguenti, registrati su Reg.ru e ospitati su classe di IP 93.95.0.0/16 su provider “JSC Mediasoft ekspert”:

• turkishcargo.net
• turk-cargo.com
• turkkargo.net

Il download del trojan dropper Cryptolocker avviene su indirizzo del servizio di file storage online Yandex.

Fino a pochi minuti fa, gli antivirus non rilevavano la minaccia Cryptolocker nel file “TurkishCargo_Adres_Form.exe” scaricato da Yandex, al momento alcuni antivirus cominciano ad inserire i dati del trojan nelle loro firme.

L’analisi dinamica del file ci mostra chiaramente il comportamento malevolo del trojan Cryptolocker, con 11 indicatori sospetti tra i quali il tentativo di contattare i domini “klori.org”, “odohor.net”, “poleklori.org”, “s.org”.

Come al solito, un ringraziamento a JAMESWT di Malware Hunter Team per la pronta segnalazione. Consigliamo a tutti di dare un’occhiata al loro ottimo servizio CyberTracker che fornisce aggiornamenti in tempo reale su Malware Packs, siti di Phishing, server C&C (Command and Control), Email e link malevoli.