Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Nuove campagne di diffusione dei malware NemucodAES e Kovter

Kovter  NemucodAES  ransomware  spam  trojan   lunedì, 17 luglio 2017

Un ricercatore del SANS Institute Internet Storm Center ha individuato nelle scorse due settimane un significativo incremento di campagne di Email di spam che distribuiscono archivi compressi in formato ZIP contenenti codice JavaScript malevolo che scarica e installa sul PC della vittima il ransomware NemucodAES e il trojan Kovter.

NemucodAES è una variante del trojan downloader Nemucod, noto per essere stato utilizzato come veicolo di distribuzione dei ransomware Locky e TeslaCrypt in diverse campagne di diffusione che hanno colpito anche l’Italia nel 2016. A differenza delle precedenti varianti, NemucodAES non scarica malware da server esterni ma utilizza un proprio componente rensomware interno basato su script.

Kovter è un trojan difficile da individuare e rimuovere in quanto, dopo aver infettato il computer, non usa file e rimane attivo solo in memoria. Tramite questo trojan, i cybercriminali sono in grado di attuare tentativi di truffa mediante clic, installare malware aggiuntivi e accedere da remoto alla macchina compromessa.

Le Email fraudolente con allegato il file ZIP malevolo appaiono provenire da note società di trasporto e spedizioni hanno oggetti simili ai seguenti:

  • “Status of your UPS delivery ID:[numeri casuali]”
  • “Problems with item delivery, n.[numeri casuali]”
  • “UPS parcel #[numeri casuali] delivery problem”

I corrispondenti allegati possono avere nomi diversi, come ad esempio:

  • [numeri casuali].zip
  • UPS-Package-[numeri casuali].zip
  • UPS-Label-[numeri casuali].zip

Una volta scaricato e aperto il file ZIP allegato, il codice JavaScript malevolo al suo interno scarica e installa NemucodAES e Kovter sulla macchina.

NemucodAES si comporta come la maggior parte dei crypto-ransomware, cifrando i file della vittima mediante una combinazione degli algoritmi RSA-2048 e AES-128 e chiedendo un riscatto in bitcoin (equivalente a circa 1.100 €) per poterli decifrare. NemucodAES non modifica i nomi dei file cifrati. Il ransomware memorizza sul PC della vittima, nella directory “AppData\Local\Temp”, un file con estensione “.hta” contenente le istruzioni per il pagamento del riscatto (vedi Figura 1) e un file con estensione “.bmp” che viene usato per sostituire l’immagine della scrivania (vedi Figura 2).

Nota di riscatto di NemucodAES

Figura 1 – La nota di riscatto di NemucodAES (fonte: SANS ISC InfoSec)

Immagine desktop di NemucodAES

Figura 2 – Immagine della scrivania di NemucodAES (fonte: SANS ISC InfoSec)

Mentre NemucodAES non sembra generare traffico di rete, il ricercatore che ha analizzato queste campagne di Email ha individuato scambi di informazioni tra il trojan Kovter e alcuni server C&C, ma non è stato in grado di determinarne lo scopo specifico.

Il post originale sul forum SANS ISC InfoSec contiene un’analisi dettagliata di questa campagna, compresi svariati indicatori di compromissione (IoC).

La società produttrice di antivirus Emsisoft ha messo a disposizione uno strumento software (Emsisoft Decrypter for NemucodAES) per il recupero dei file presi in ostaggio dal ransomware NemucodAES. L’efficacia di questo tool non è stata verificata dal CERT Nazionale e non vi è alcuna garanzia che possa funzionare in tutti i casi.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Campagna di Email malevole ai danni di utenti italiani

20 giugno 2018

Il CERT-PA ha rilevato una nuova campagna di Email di spam indirizzata ad utenze italiane e volta alla diffusione di malware.Leggi tutto

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto

Il trojan bancario BackSwap impiega tecniche innovative per attaccare i browser delle vittime

28 maggio 2018

I ricercatori di ESET hanno scoperto BackSwap, una nuova famiglia di trojan bancari che impiega tecniche innovative per aggirare le protezioni dei browser e rubare soldi dai conti correnti delle vittime.Leggi tutto