Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

SpriteCoin: il ransomware travestito da criptovaluta

monero  ransomware  SpriteCoin   venerdì, 26 gennaio 2018

Gli esperti del FortiGuard Labs di Fortinet hanno individuato un nuovo esemplare di ransomware che si spaccia per portafoglio di una fantomatica criptovaluta chiamata SpriteCoin.

In realtà questa criptovaluta non esiste ed è stata “creata” dai cybercriminali unicamente per sfruttare il crescente interesse degli utenti verso queste tipologie di moneta virtuale, con annesse speranze di facili guadagni.

Anche se il vettore di infezione non è al momento certo, gli analisti ritengono che il ransomware SpriteCoin venga distribuito prevalentemente mediante tecniche di ingegneria sociale, via Email o con messaggi inseriti in forum sul tema delle criptovalute. Gli esperti hanno anche individuato un sito Web dedicato a SpriteCoin.

Una volta scaricato e lanciato sul PC della vittima, l’applicativo malevolo SpriteCoin (un eseguibile Windows chiamato “spritecoind[.]exe”) richiede all’utente l’inserimento di una password per proteggere il portafoglio. Successivamente, il malware mostra un indicatore di progresso che illustra l’avanzamento del presunto scaricamento della blockchain (il registro virtuale distribuito delle transazioni delle criptovalute). In realtà, durante questa operazione il ransomware sta cifrando i file dell’utente.

SpriteCoin cifra tutti i file con le seguenti estensioni:

.c, .txt, .py, .doc, .rtf, .cpp, .cc, .go, .tcl, .html, .ppt, .docx, .xls, .xlsx, .pptx, .key, .pem, .psd, .mkv, .mp4, .ogv, .zip, .jpg, .jpeg, .work, .pyw, .h, .hpp, .cgi, .pl, .rar, .lua, .img, .iso, .webm, .jar, .java, .class, .one, .htm, .js, .css, .vbs, .7z, .eps, .psf, .png, .apk, .ps1, .gz, .wallet.dat, .id_rsa

Ai file cifrati, che non vengono rinominati, viene aggiunta l’estensione “.encrypted”.

Una volta terminata la fase di cifratura, SpriteCoin mostra la nota di riscatto in una finestra del browser predefinito (vedi immagine).

Nota di riscatto di SpriteCoin

La nota di riscatto di SpriteCoin (fonte: Fortinet)

Per riscattare i file presi in ostaggio, questo ransomware richiede alle sue vittime il pagamento di 0,3 Monero (una criptovaluta reale con simbolo XMR), equivalenti ad oggi a circa 72 €.

Oltre a cifrare i file sul computer, SpriteCoin tenta di rubare le credenziali memorizzate localmente dai browser Chrome e Firefox, che vengono successivamente inviate in forma cifrata ad un sito Web remoto attraverso la rete TOR.

Stando a quanto riportato dai ricercatori che hanno analizzato questo malware, se la vittima decide di pagare il riscatto (cosa che si raccomanda di non fare in nessun caso), invece di ricevere lo strumento per decifrare i file, gli viene impiantato sulla macchina un secondo malware in grado di accedere alla webcam e compromettere chiavi e certificati memorizzati sul PC.

Il post originale di FortiGuard Labs contiene un’analisi più dettagliata di SpriteCoin, inclusi svariati indicatori di compromissione (IoC).

Al momento non sono noti metodi o tool per decifrare i file presi in ostaggio da questo ransomware. Fortunatamente, la capacità di individuazione di SpriteCoin, conosciuto anche come MoneroPay, da parte dei più diffusi antivirus risulta molto elevata.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Il ransomware Hermes distribuito mediante allegati Word malevoli

30 luglio 2018

È stata recentemente individuata una campagna di Email malevole con allegati documenti Word infetti che scaricano sul computer della vittima il ransomware Hermes.Leggi tutto

Scoperta variante del ransomware Rakhni con capacità di miner

6 luglio 2018

I ricercatori di Kaspersky Lab hanno individuato una nuova variante del ransomware Rakhni che introduce una funzionalità per il mining di criptovalute.Leggi tutto

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto