Doppio malware: Ransomware e trojan distribuiti insieme

Lug 17, 2017 Marco Schiaffino Attacchi, Malware, News, RSS 0

Il ransomware NemucodAES viene distribuito insieme a Kovter. Il primo prende in ostaggio i file, il secondo ruba informazioni dal PC.

Un singolo vettore di infezione in grado di installare sul computer due malware distinti. Secondo il ricercatore Brad Duncan, la campagna di distribuzione che ha fatto la sua comparsa in rete nelle ultime due settimane sarebbe una versione cyber-criminale delle promozioni “due per uno”.

Nel dettaglio, Duncan spiega che gli attacchi avvengono attraverso un metodo piuttosto tradizionale: l’invio di messaggi di posta elettronica con un archivio ZIP allegato. Le email sono confezionate in modo da apparire come provenienti da UPS (il celebre servizio di corriere – ndr) e hanno allegato un archivio ZIP che dovrebbe contenere i “dettagli” della spedizione.

Problemi nella consegna e un allegato con i dettagli relativi alla spedizione. Il trucco è vecchio ma in molti casi rischia ancora di funzionare.

All’interno dell’archivio compresso, però, c’è un JavaScript che avvia l’esecuzione dei due malware. Il primo è una variante del ransomware Nemucod, chiamato NemucodAES.

Si tratta di un classico ransomware, che prende in ostaggio i documenti sul PC crittografandoli ma senza modificarne l’estensione, come fanno molti altri “colleghi”. Il malware, poi, modifica lo sfondo del desktop per visualizzare una richiesta di riscatto in Bitcoin.

Nel corso del 2016 lo stesso ransomware era stato protagonista di una campagna di distribuzione che sfruttava Facebook e di cui abbiamo parlato in questo articolo.

Fortunatamente, i ricercatori hanno messo a punto uno strumento per recuperare gratuitamente i file che può essere scaricato a questo indirizzo. Secondo Duncan, però, gli autori del ransomware ne avrebbero modificato più volte il codice e non è escluso che ne possa comparire a breve una nuova versione più “ostica” da combattere.

Documenti crittografati e una classica richiesta di riscatto. Per lo meno NemucodAES non compromette il normale funzionamento del PC.

Il secondo ospite indesiderato che viene scaricato sul computer della vittima è invece Kovter. Si tratta di un trojan in circolazione da parecchio tempo (2013) e che i pirati hanno modificato più volte nel corso del tempo.

Al suo esordio Kovter agiva come il vecchio Virus della Polizia di Stato: aspettava che la vittima avviasse qualche attività non propriamente legale come il download di file tramite P2P e bloccava il computer visualizzando un messaggio che chiedeva il pagamento di una “multa” come sanzione per l’attività illecita.

In seguito, Kovter ha cambiato obiettivo e ha cominciato a utilizzare il PC infetto per fare clic su annunci pubblicitari all’insaputa del proprietario del computer.

Le funzionalità dell’attuale versione, secondo Duncan, non sono ancora chiare. Il ricercatore per il momento è riuscito solo a identificare il tipo di trojan analizzando il traffico in uscita e stando alla sua analisi, è improbabile che il suo obiettivo sia quello di agire come “clicker”.

Kovter, in ogni caso, rimane un trojan a tutti gli effetti e permette quindi ai pirati informatici di rubare informazioni dal computer infetto ed eventualmente avviare l’installazione di altri malware. Sottovalutarlo, quindi, può essere un grosso errore.

Condividi l'articolo