Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

CTB-Locker si evolve e si lega ad attività di phishing

CTB-Locker  phishing  ransomware   venerdì, 13 febbraio 2015

Alcuni ricercatori di Trend Micro hanno riportato in un post evidenze di una nuova ondata della diffusione del noto ransomware CTB-Locker che utilizza come esche Email che sembrano provenire da Google Chrome o Facebook.

In particolare, l’Email relativa a Chrome si spaccia per una notifica di aggiornamento del browser e contiene un link che reindirizza l’utente verso un sito che ospita il malware rilevato come TROJ_CRYPCTB.YUX. Si noti che, all’apparenza, sembrerebbe un pacchetto di installazione legittimo.

Per quello che riguarda Facebook, invece, l’Email notifica la sospensione dell’account e invita l’utente a seguire un link per risolvere il problema scaricando invece il malware (TROJ_CRYPCTB.NSA) camuffato per mezzo di un’icona di un file PDF.

Per le Email che veicolano il malware sono stati usati per il mittente principalmente indirizzi che ad un rapido sguardo assomigliano a sorgenti legittime:

  • goog.le.com
  • noreply@mail.fb.com
  • service@paypal.co.uk

I ricercatori hanno rilevato che i siti compromessi sono associati anche ad attività di phishing utilizzanti come esca PayPal. In questo caso l’Email induce il destinatario ad accedere al proprio conto ma tramite un link ad un sito di phishing che richiede, oltre alle consuete credenziali di accesso, notizie quali informazioni su carte di credito e contatti personali.

Una volta inseriti tali dati, il sito, con la scusa di dover accedere nuovamente per la verifica, reindirizza l’utente verso la vera pagina di login di PayPal per non destare sospetti.

I ricercatori hanno pubblicato una tabella contenente i dati relativi alle rilevazioni di CTB-Locker nel periodo 21 gennaio – 6 febbraio 2015 che pone l’Italia al primo posto come paese interessato da questa variante di ransomware, precisamente con il 16.5% seguita dalla Francia con l’11%, dall’India con l’8,7% e gli Stati Uniti con il 4,6%.

Si consiglia quindi agli utenti di controllare attentamente ogni Email ricevuta anche se apparentemente proveniente da mittenti conosciuti o legittimi e di eseguire un backup periodico dei propri dati su supporti diversi che permetta il recupero nel caso di una compromissione da parte di un ransomware.

Notizie correlate

Il ransomware SynAck colpisce aziende anche in Europa

8 settembre 2017

Esperti di sicurezza hanno rilevato un notevole incremento nelle attività di una nuova variante di ransomware denominata SynAck.Leggi tutto

Il ransomware SyncCrypt si nasconde in immagini JPEG

23 agosto 2017

È stato scoperto un nuovo ransomware chiamato SyncCrypt che viene distribuito come file WSF che scarica immagini JPEG contenenti il malware in formato ZIP.Leggi tutto

Scoperta nuova variante del trojan bancario per Android Svpeng

2 agosto 2017

I ricercatori di Kaspersky Lab hanno individuato una variante del trojan bancario Svpeng che sfrutta i servizi per l'accessibilità Android per intercettare il testo inserito dall'utente.Leggi tutto