Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

CTB-Locker si evolve e si lega ad attività di phishing

CTB-Locker  phishing  ransomware   venerdì, 13 febbraio 2015

Alcuni ricercatori di Trend Micro hanno riportato in un post evidenze di una nuova ondata della diffusione del noto ransomware CTB-Locker che utilizza come esche Email che sembrano provenire da Google Chrome o Facebook.

In particolare, l’Email relativa a Chrome si spaccia per una notifica di aggiornamento del browser e contiene un link che reindirizza l’utente verso un sito che ospita il malware rilevato come TROJ_CRYPCTB.YUX. Si noti che, all’apparenza, sembrerebbe un pacchetto di installazione legittimo.

Per quello che riguarda Facebook, invece, l’Email notifica la sospensione dell’account e invita l’utente a seguire un link per risolvere il problema scaricando invece il malware (TROJ_CRYPCTB.NSA) camuffato per mezzo di un’icona di un file PDF.

Per le Email che veicolano il malware sono stati usati per il mittente principalmente indirizzi che ad un rapido sguardo assomigliano a sorgenti legittime:

  • goog.le.com
  • noreply@mail.fb.com
  • service@paypal.co.uk

I ricercatori hanno rilevato che i siti compromessi sono associati anche ad attività di phishing utilizzanti come esca PayPal. In questo caso l’Email induce il destinatario ad accedere al proprio conto ma tramite un link ad un sito di phishing che richiede, oltre alle consuete credenziali di accesso, notizie quali informazioni su carte di credito e contatti personali.

Una volta inseriti tali dati, il sito, con la scusa di dover accedere nuovamente per la verifica, reindirizza l’utente verso la vera pagina di login di PayPal per non destare sospetti.

I ricercatori hanno pubblicato una tabella contenente i dati relativi alle rilevazioni di CTB-Locker nel periodo 21 gennaio – 6 febbraio 2015 che pone l’Italia al primo posto come paese interessato da questa variante di ransomware, precisamente con il 16.5% seguita dalla Francia con l’11%, dall’India con l’8,7% e gli Stati Uniti con il 4,6%.

Si consiglia quindi agli utenti di controllare attentamente ogni Email ricevuta anche se apparentemente proveniente da mittenti conosciuti o legittimi e di eseguire un backup periodico dei propri dati su supporti diversi che permetta il recupero nel caso di una compromissione da parte di un ransomware.

Notizie correlate

Nuova variante di Locky diffusa mediante documenti Office

13 novembre 2017

I ricercatori di Avira hanno scoperto una nuova variante del ransomware Locky distribuita mediante documenti Microsoft Word o Libre Office.Leggi tutto

Il ransomware Matrix diffuso tramite exploit kit

30 ottobre 2017

Un ricercatore di sicurezza di Malwarebytes ha scoperto una variante del ransomware Matrix che viene distribuita mediante l'exploit kit RIG in campagne di malvertising.Leggi tutto

Nuova massiccia campagna di diffusione ransomware “Bad Rabbit”

25 ottobre 2017

Stando a quanto riportato da numerose fonti, tra le quali le società di sicurezza Kaspersky e ESET, sarebbe in corso una massiccia campagna di diffusione di una nuova variante di ransomware denominata Bad Rabbit.Leggi tutto