Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

CTB-Locker si evolve e si lega ad attività di phishing

CTB-Locker  phishing  ransomware   venerdì, 13 febbraio 2015

Alcuni ricercatori di Trend Micro hanno riportato in un post evidenze di una nuova ondata della diffusione del noto ransomware CTB-Locker che utilizza come esche Email che sembrano provenire da Google Chrome o Facebook.

In particolare, l’Email relativa a Chrome si spaccia per una notifica di aggiornamento del browser e contiene un link che reindirizza l’utente verso un sito che ospita il malware rilevato come TROJ_CRYPCTB.YUX. Si noti che, all’apparenza, sembrerebbe un pacchetto di installazione legittimo.

Per quello che riguarda Facebook, invece, l’Email notifica la sospensione dell’account e invita l’utente a seguire un link per risolvere il problema scaricando invece il malware (TROJ_CRYPCTB.NSA) camuffato per mezzo di un’icona di un file PDF.

Per le Email che veicolano il malware sono stati usati per il mittente principalmente indirizzi che ad un rapido sguardo assomigliano a sorgenti legittime:

  • goog.le.com
  • noreply@mail.fb.com
  • service@paypal.co.uk

I ricercatori hanno rilevato che i siti compromessi sono associati anche ad attività di phishing utilizzanti come esca PayPal. In questo caso l’Email induce il destinatario ad accedere al proprio conto ma tramite un link ad un sito di phishing che richiede, oltre alle consuete credenziali di accesso, notizie quali informazioni su carte di credito e contatti personali.

Una volta inseriti tali dati, il sito, con la scusa di dover accedere nuovamente per la verifica, reindirizza l’utente verso la vera pagina di login di PayPal per non destare sospetti.

I ricercatori hanno pubblicato una tabella contenente i dati relativi alle rilevazioni di CTB-Locker nel periodo 21 gennaio – 6 febbraio 2015 che pone l’Italia al primo posto come paese interessato da questa variante di ransomware, precisamente con il 16.5% seguita dalla Francia con l’11%, dall’India con l’8,7% e gli Stati Uniti con il 4,6%.

Si consiglia quindi agli utenti di controllare attentamente ogni Email ricevuta anche se apparentemente proveniente da mittenti conosciuti o legittimi e di eseguire un backup periodico dei propri dati su supporti diversi che permetta il recupero nel caso di una compromissione da parte di un ransomware.

Notizie correlate

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto

Scoperta nuova variante del ransomware GandCrab

24 aprile 2018

È stata recentemente individuata in-the-wild una nuova variante del noto ransomware GandCrab diffusa principalmente mediante Email malevole. Leggi tutto

Il nuovo ransomware WhiteRose colpisce in Europa

9 aprile 2018

I ricercatori di sicurezza del MalwareHunterTeam hanno individuato un nuovo esemplare di ransomware denominato WhiteRose, basato sulla famiglia InfiniteTear.Leggi tutto