Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

SpriteCoin: il ransomware travestito da criptovaluta

monero  ransomware  SpriteCoin   venerdì, 26 gennaio 2018

Gli esperti del FortiGuard Labs di Fortinet hanno individuato un nuovo esemplare di ransomware che si spaccia per portafoglio di una fantomatica criptovaluta chiamata SpriteCoin.

In realtà questa criptovaluta non esiste ed è stata “creata” dai cybercriminali unicamente per sfruttare il crescente interesse degli utenti verso queste tipologie di moneta virtuale, con annesse speranze di facili guadagni.

Anche se il vettore di infezione non è al momento certo, gli analisti ritengono che il ransomware SpriteCoin venga distribuito prevalentemente mediante tecniche di ingegneria sociale, via Email o con messaggi inseriti in forum sul tema delle criptovalute. Gli esperti hanno anche individuato un sito Web dedicato a SpriteCoin.

Una volta scaricato e lanciato sul PC della vittima, l’applicativo malevolo SpriteCoin (un eseguibile Windows chiamato “spritecoind[.]exe”) richiede all’utente l’inserimento di una password per proteggere il portafoglio. Successivamente, il malware mostra un indicatore di progresso che illustra l’avanzamento del presunto scaricamento della blockchain (il registro virtuale distribuito delle transazioni delle criptovalute). In realtà, durante questa operazione il ransomware sta cifrando i file dell’utente.

SpriteCoin cifra tutti i file con le seguenti estensioni:

.c, .txt, .py, .doc, .rtf, .cpp, .cc, .go, .tcl, .html, .ppt, .docx, .xls, .xlsx, .pptx, .key, .pem, .psd, .mkv, .mp4, .ogv, .zip, .jpg, .jpeg, .work, .pyw, .h, .hpp, .cgi, .pl, .rar, .lua, .img, .iso, .webm, .jar, .java, .class, .one, .htm, .js, .css, .vbs, .7z, .eps, .psf, .png, .apk, .ps1, .gz, .wallet.dat, .id_rsa

Ai file cifrati, che non vengono rinominati, viene aggiunta l’estensione “.encrypted”.

Una volta terminata la fase di cifratura, SpriteCoin mostra la nota di riscatto in una finestra del browser predefinito (vedi immagine).

Nota di riscatto di SpriteCoin

La nota di riscatto di SpriteCoin (fonte: Fortinet)

Per riscattare i file presi in ostaggio, questo ransomware richiede alle sue vittime il pagamento di 0,3 Monero (una criptovaluta reale con simbolo XMR), equivalenti ad oggi a circa 72 €.

Oltre a cifrare i file sul computer, SpriteCoin tenta di rubare le credenziali memorizzate localmente dai browser Chrome e Firefox, che vengono successivamente inviate in forma cifrata ad un sito Web remoto attraverso la rete TOR.

Stando a quanto riportato dai ricercatori che hanno analizzato questo malware, se la vittima decide di pagare il riscatto (cosa che si raccomanda di non fare in nessun caso), invece di ricevere lo strumento per decifrare i file, gli viene impiantato sulla macchina un secondo malware in grado di accedere alla webcam e compromettere chiavi e certificati memorizzati sul PC.

Il post originale di FortiGuard Labs contiene un’analisi più dettagliata di SpriteCoin, inclusi svariati indicatori di compromissione (IoC).

Al momento non sono noti metodi o tool per decifrare i file presi in ostaggio da questo ransomware. Fortunatamente, la capacità di individuazione di SpriteCoin, conosciuto anche come MoneroPay, da parte dei più diffusi antivirus risulta molto elevata.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Nuova variante del ransomware Dharma utilizza l’estensione “.brrr”

17 settembre 2018

È stata scoperta una nuova variante della famiglia di ransomware Dharma che appende l'estensione ".brrr" ai file cifrati.Leggi tutto

Il nuovo ransomware PyLocky colpisce paesi europei

11 settembre 2018

I ricercatori di sicurezza di Trend Micro hanno scoperto PyLocky, un nuovo esemplare di ransomware distribuito prevalentemente in Germania e Francia.Leggi tutto