Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

CTB-Locker si evolve e si lega ad attività di phishing

CTB-Locker  phishing  ransomware   venerdì, 13 febbraio 2015

Alcuni ricercatori di Trend Micro hanno riportato in un post evidenze di una nuova ondata della diffusione del noto ransomware CTB-Locker che utilizza come esche Email che sembrano provenire da Google Chrome o Facebook.

In particolare, l’Email relativa a Chrome si spaccia per una notifica di aggiornamento del browser e contiene un link che reindirizza l’utente verso un sito che ospita il malware rilevato come TROJ_CRYPCTB.YUX. Si noti che, all’apparenza, sembrerebbe un pacchetto di installazione legittimo.

Per quello che riguarda Facebook, invece, l’Email notifica la sospensione dell’account e invita l’utente a seguire un link per risolvere il problema scaricando invece il malware (TROJ_CRYPCTB.NSA) camuffato per mezzo di un’icona di un file PDF.

Per le Email che veicolano il malware sono stati usati per il mittente principalmente indirizzi che ad un rapido sguardo assomigliano a sorgenti legittime:

  • goog.le.com
  • noreply@mail.fb.com
  • service@paypal.co.uk

I ricercatori hanno rilevato che i siti compromessi sono associati anche ad attività di phishing utilizzanti come esca PayPal. In questo caso l’Email induce il destinatario ad accedere al proprio conto ma tramite un link ad un sito di phishing che richiede, oltre alle consuete credenziali di accesso, notizie quali informazioni su carte di credito e contatti personali.

Una volta inseriti tali dati, il sito, con la scusa di dover accedere nuovamente per la verifica, reindirizza l’utente verso la vera pagina di login di PayPal per non destare sospetti.

I ricercatori hanno pubblicato una tabella contenente i dati relativi alle rilevazioni di CTB-Locker nel periodo 21 gennaio – 6 febbraio 2015 che pone l’Italia al primo posto come paese interessato da questa variante di ransomware, precisamente con il 16.5% seguita dalla Francia con l’11%, dall’India con l’8,7% e gli Stati Uniti con il 4,6%.

Si consiglia quindi agli utenti di controllare attentamente ogni Email ricevuta anche se apparentemente proveniente da mittenti conosciuti o legittimi e di eseguire un backup periodico dei propri dati su supporti diversi che permetta il recupero nel caso di una compromissione da parte di un ransomware.

Notizie correlate

“Anatova”: nuova minaccia ransomware colpisce anche in Italia

28 gennaio 2019

I ricercatori di sicurezza di McAfee hanno individuato la nuova famiglia di ransomware Anatova, ritenuta una seria minaccia per il prossimo futuro.Leggi tutto

Il malware “AVE_MARIA” diffuso in campagna di phishing ai danni di un’azienda italiana

14 gennaio 2019

I ricercatori di Cybaze-Yoroi ZLab hanno analizzato una campagna di phishing mirata ad un'azienda italiana del settore energetico che veicola il malware AVE_MARIA.Leggi tutto

Disponibile tool per recuperare i file cifrati dal ransomware GandCrab

26 ottobre 2018

La Polizia Romena, in collaborazione con le forze dell'ordine di altri Paesi, la società di sicurezza Bitdefender ed Europol, ha sviluppato un tool universale per decifrare i file presi in ostaggio dal ransomware GandCrab.Leggi tutto