Questa volta i delinquenti hanno giocato pesante….
Questa volta i delinquenti hanno giocato pesante: per veicolare un ransomware hanno assunto l’identità del “Procuratore della Repubblica presso il Tribunale ordinario” inviando a migliaia di vittime italiane un messaggio nel quale si informa il malcapitato di essere sotto inchiesta e che i suoi beni verranno “posti in arresto con l’accusa di mancato pagamento delle imposte e concorso in riciclaggio di denaro”. Ovviamente la mail è un tentativo di phishing, la Procura della Repubblica non ha nulla a che fare con queste mail e i link dai quali la vittima sarà invitata a scaricare il documento relativo all’inchiesta che lo riguarda contengono malware, in particolare un ransomware di quelli che criptano i documenti del proprio PC e chiedono un riscatto.
La segnalazione arriva da numerose fonti, tra le quali la Procura di Udine che ha già provveduto ad avvisare quanti potrebbero correre il rischio di diventare vittime dell’attacco di phishing finalizzato alla diffusione di ransomware.
La mail di phishing contiene un link a un finto documento relativo all’indagine e allusioni a sentenza di condanna, arresto, reclusione, confisca dei beni, finalizzate a impaurire la vittima e scaricare il finto documento. Il link punta verso siti web bucati che, a loro volta, redirigono la connessione (dopo aver verificato IP di provenienza e user agent del browser che deve essere compatibile con Windows) verso uno dei seguenti siti:
procura-italia.com
procura-italia.net
Visitando il link con un Sistema Operativo diverso da Windows (ad esempio con Mac OS o con Linux) o con un indirizzo IP non italiano, si ottiene un redirect verso la pagina di Google oppure la visualizzazione del messaggio “This webpage does not support mobile/MAC browser. Please use PC browser to view the content”, che invita a visitare il link con un PC con Windows. Il motivo di questo filtro è che il cryptovirus infetta solamente sistemi Windows e i delinquenti filtrano le vittime in base alla nazionalità, in questo caso italiana.
Il ransomware filtra utenti Mac OS o Linux
Su questi siti avviene il download di ciò che non è in realtà un documento ma un archivio ZIP contenente un javascript offuscato che poi scarica il ransomware e contemporaneamente viene mostrato per qualche secondo il logo della Repubblica Italiana.
Ransomware che si finge inchiesta della Procura della Repubblica
Mentre l’utente visualizza la pagina di “Download in Corso”, con il logo della Repubblica Italiana”, visualizza sul suo browser una finestra di download di un archivio ZIP che contiene, al suo interno, un file con estensione JS contenente il vero e proprio dropper in javascript.
Dropper in javascrip del ransomware che si finge Procura della Repubblica
Che prema OK o CANCEL, la vittima viene portata tramite redirezione http sul sito ufficiale del Ministero della Giustizia, per dare l’impressione di ufficialità del documento eventualmente scaricato che il malcapitato tenterà poi di aprire infettando così con un trojan il proprio PC e ritrovandosi i documenti criptati e una richiesta di riscatto per poterne riavere la disponibilità.
tratto da http://www.ransomware.it