I ricercatori di sicurezza informatica JAMESWT, TG Soft e reecDeep hanno rilevato una nuova campagna spam, volta al contagio degli utenti Windows italiani con il keylogger Ursniff e il Dharma Ransomware.
Il Dharma Ransomware è attivo da alcuni anni e si basa su un’altra famiglia di Ransomware nota come Crysis. Il ransomware, visto la prima volta nel 2016 e quindi evoluto nel corso degli anni utilizza la crittografia AES per crittografare i dati del computer. Una volta bloccati i file, mostra quindi delle note di riscatto con le istruzioni necessarie per sbloccarli.
Dharma Ransomware – Mail spam e allegati
La campagna di mail spam di diffusione del Dharma Ransomware in Italia vede quindi l’invio di messaggi di posta elettronica con oggetti come “Fattura n. 637 del 14.01.20“, camuffati quindi da notifica di fattura. Il testo è il seguente:
Gentile cliente,
in allegato alla presente Le trasmetto la nostra fattura.
Si precisa che questa modalita d’invio, tramite posta elettronica, sostituisce la spedizione cartacea e che i documenti allegati costituiranno l’originale della fattura.
Decreto
Si prega dare gentile conferma di lettura
Allegati alla mail troviamo quindi il file “New documento 2.zip“, su una pagina di OneDrive, che viene scaricato automaticamente quando l’utente accede al sito.
L’archivio New documento 2.zip include quindi due file, ovvero uno script VBS chiamato “Nuovo documento 2.vbs” e un’immagine “yuy7z.jpg“. Eseguendo il file VBS si installeranno alcuni payload malware, tra cui il trojan keylogger Ursniff, arrivando quindi al Dharma Ransomware.
La versione del Dharma Randomware di questa campagna spam che sta colpendo l’Italia aggiunge l’estensione . ROGER ai file crittografati, mostrando quindi una nota del riscatto che intima alla vittima di contattare [email protected] per ricevere informazioni sul riscatto.
Sfortunatamente, al momento non esiste un modo per decrittografare i file cifrati dal Dharma Ransomware senza la chiave nota solo agli hacker dietro il malware. Se dovessi inavvertitamente installare il ransomare, l’unico modo per recuperare i tuoi file sarebbe tramite backup o pagando il riscatto.
Al contrario di altre campagne di phishing, come quella a nome di Poste Italiane, in questo caso non è necessario fornire informazioni per avviare l’attacco. La campagna di diffusione che sta colpendo l’Italia infatti prevede semplicemente un click sul link della mail spam perché il Dharma Ransomware venga installato aprendo i file allegati.
Come sempre, invito gli utenti a stare molto attenti alle mail che aprono e agli allegati che scaricano. Inoltre, consiglio l’installazione di un antivirus che includa la protezione da ransomware (che raramente è inclusa in quelli gratis), come Norton 360, che include anche la Promessa Protezione Virus. Se il tuo dispositivo dovesse essere colpito da un virus mentre utilizzi Norton infatti, riceverai un rimborso completo.
Se ti è piaciuto questo articolo, scrivimi o commenta qui sotto e condividilo con i tuoi amici! Inoltre, seguimi su Facebook e Instagram per rimanere sempre aggiornato sulle novità di Stolas Informatica!
Nota: si ringrazia Bleeping Computer per le immagini e le risorse (in inglese)
Caricamento...