Attenzione alla falsa fattura Vodafone Italia: è Crypt0l0cker

Nuova ondata di ransomware in lingua italiana veicolato tramite finte fatture di operatori telefonici, in questo caso Vodafone Italia, che giungono a ignare vittime tramite email con oggetto “Vodafone – Recapito Elettronico Fattura nr FI12345678” e un allegato ZIP “vodafone_fattura.zip” contenenti un file in Javascript “vodafone_fattura.js” che, se aperto, scarica il cryptovirus Crypt0l0cker, cripta i documenti presenti sul computer e chiede un riscatto in bitcoin.

Ransomware nascosto nella falsa fattura Vodafone Italia

Il tipo di phishing è simile a quello che diffondeva ransomware Crypt0l0cker fingendosi la Procura della Repubblica, con la differenza che in questo caso i domini utilizzati si spacciano per Vodafone Italia:

  • vodafone-italia.net
  • vodafone-italia.com
  • vodafone-italia24.com
  • vodafone-italia24.net

Il logo che compare durante il download del CryptoLocker è quello di Vodafone, così da indurre la vittima a credere che la fattura provenga effettivamente da Vodafone ma ovviamente i link per il download della fattura puntano su siti bucati che poi redirigono verso i domini mostrati sopra.

Phishing Vodafone Italia

Il messaggio contenuto nelle mail di phishing è simile a quelli inviati da Vodafone:

John Doe,

ti inviamo in allegato il Conto Telefonico Completo all’interno del quale puoi trovare la Fattura nr. FI12345678 dell’importo di 146,16 euro.

Ti ricordiamo che puoi scaricare il tuo Conto Telefonico Completo nella sezione “190 Fai da te” del sito www.vodafone.it (scopri come).

Per maggiori informazioni sulle voci del tuo Conto Telefonico visita la sezione dedicata su www.vodafone.it.

Cordiali Saluti.
Servizio Clienti Vodafone

Vodafone Italia S.p.A. (di seguito “Vodafone”), è particolarmente attenta agli aspetti riguardanti la privacy dei propri clienti/utenti. Attraverso questa pagina intende descrivere le modalità di gestione del proprio sito internet e wap con riferimento al trattamento dei dati personali dei clienti/utenti che vi accedono. Si tratta di una informativa generale resa nel rispetto del Decreto Legislativo 30 giugno 2003 n. 196 “Codice in materia di protezione dei dati personali” (di seguito la “Legge”) (ex Legge n. 675/1996) a coloro che consultano il sito web di Vodafone, accessibile per via telematica dai seguenti siti: http://www.vodafone.it, www.190.it e dal relativo sito wap (di seguito i “Siti”). Per la fruizione di specifici servizi da parte dei clienti/utenti, saranno di volta in volta fornite specifiche informative e richiesti, ove necessario, specifici consensi al trattamento dei propri dati personali..

Vodafone si riserva il diritto di modificare o emendare, in qualsiasi momento, la presente policy privacy soprattutto in virtù dell’entrata in vigore di nuove normative di settore. In tal caso le modifiche entreranno in vigore decorsi 15 giorni dalla data di pubblicazione sul sito. Per ulteriori informazioni su come Vodafone tutela la privacy dei Clienti consulta la sezione “Per il Consumatore” presente nei Link utili. Dal 22 novembre 2015 Vodafone Italia S.p.A. assume una nuova forma societaria e trasferisce la sua sede legale in Italia. La nuova ragione sociale è Vodafone Italia S.p.A., con sede legale in Via Jervis 13, 10015 Ivrea (Torino). Questa modifica amministrativa non comporta alcun cambiamento nei rapporti con i propri clienti.Contattaci nell’area Assistenza di Vodafone.it.

Vodafone.it | Facebook | Twitter

Come la maggior parte dei ransomware, anche questo cryptovirus cancella le shadow copies tramite il comando “vssadmin.exe Delete Shadows /All /Quiet” in modo da impedire il recupero dei file criptati.

Il ransomware cancella le Shadow Copies con vssadmin

I ricercatori non hanno ancora scoperto come decriptare i file cifrati da Crypt0l0cker, appena ci saranno novità le pubblicheremo sul Ransomware Blog, per il momento la miglior prevenzione è avere backup aggiornati dei propri dati importanti..

Per chi è interessato ad approfondire questa versione del ransomware Crypt0l0cker, qui di seguito link all’analisi (con possibilità di download) dei sample di questa campagna di trojan cifranti:

  • https://www.virustotal.com/en/file/b79a351525c32c55ea069c4683274a07ce3ae3abc099d737521249bbd1760531/analysis/1466571039/
  • https://www.hybrid-analysis.com/sample/5ec1629df5da73f94e429259784c7437c3f562ef115b6019364cf242c7f256fe?environmentId=100

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.