Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

SpriteCoin: il ransomware travestito da criptovaluta

monero  ransomware  SpriteCoin   venerdì, 26 gennaio 2018

Gli esperti del FortiGuard Labs di Fortinet hanno individuato un nuovo esemplare di ransomware che si spaccia per portafoglio di una fantomatica criptovaluta chiamata SpriteCoin.

In realtà questa criptovaluta non esiste ed è stata “creata” dai cybercriminali unicamente per sfruttare il crescente interesse degli utenti verso queste tipologie di moneta virtuale, con annesse speranze di facili guadagni.

Anche se il vettore di infezione non è al momento certo, gli analisti ritengono che il ransomware SpriteCoin venga distribuito prevalentemente mediante tecniche di ingegneria sociale, via Email o con messaggi inseriti in forum sul tema delle criptovalute. Gli esperti hanno anche individuato un sito Web dedicato a SpriteCoin.

Una volta scaricato e lanciato sul PC della vittima, l’applicativo malevolo SpriteCoin (un eseguibile Windows chiamato “spritecoind[.]exe”) richiede all’utente l’inserimento di una password per proteggere il portafoglio. Successivamente, il malware mostra un indicatore di progresso che illustra l’avanzamento del presunto scaricamento della blockchain (il registro virtuale distribuito delle transazioni delle criptovalute). In realtà, durante questa operazione il ransomware sta cifrando i file dell’utente.

SpriteCoin cifra tutti i file con le seguenti estensioni:

.c, .txt, .py, .doc, .rtf, .cpp, .cc, .go, .tcl, .html, .ppt, .docx, .xls, .xlsx, .pptx, .key, .pem, .psd, .mkv, .mp4, .ogv, .zip, .jpg, .jpeg, .work, .pyw, .h, .hpp, .cgi, .pl, .rar, .lua, .img, .iso, .webm, .jar, .java, .class, .one, .htm, .js, .css, .vbs, .7z, .eps, .psf, .png, .apk, .ps1, .gz, .wallet.dat, .id_rsa

Ai file cifrati, che non vengono rinominati, viene aggiunta l’estensione “.encrypted”.

Una volta terminata la fase di cifratura, SpriteCoin mostra la nota di riscatto in una finestra del browser predefinito (vedi immagine).

Nota di riscatto di SpriteCoin

La nota di riscatto di SpriteCoin (fonte: Fortinet)

Per riscattare i file presi in ostaggio, questo ransomware richiede alle sue vittime il pagamento di 0,3 Monero (una criptovaluta reale con simbolo XMR), equivalenti ad oggi a circa 72 €.

Oltre a cifrare i file sul computer, SpriteCoin tenta di rubare le credenziali memorizzate localmente dai browser Chrome e Firefox, che vengono successivamente inviate in forma cifrata ad un sito Web remoto attraverso la rete TOR.

Stando a quanto riportato dai ricercatori che hanno analizzato questo malware, se la vittima decide di pagare il riscatto (cosa che si raccomanda di non fare in nessun caso), invece di ricevere lo strumento per decifrare i file, gli viene impiantato sulla macchina un secondo malware in grado di accedere alla webcam e compromettere chiavi e certificati memorizzati sul PC.

Il post originale di FortiGuard Labs contiene un’analisi più dettagliata di SpriteCoin, inclusi svariati indicatori di compromissione (IoC).

Al momento non sono noti metodi o tool per decifrare i file presi in ostaggio da questo ransomware. Fortunatamente, la capacità di individuazione di SpriteCoin, conosciuto anche come MoneroPay, da parte dei più diffusi antivirus risulta molto elevata.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Il cryptominer KingMiner utilizza il 100% della CPU su server Microsoft

3 dicembre 2018

I ricercatori di sicurezza di Check Point hanno individuato un nuovo cryptominer, battezzato KingMiner, che prende di mira i server Microsoft Windows per estrarre Monero.Leggi tutto

Disponibile tool per recuperare i file cifrati dal ransomware GandCrab

26 ottobre 2018

La Polizia Romena, in collaborazione con le forze dell'ordine di altri Paesi, la società di sicurezza Bitdefender ed Europol, ha sviluppato un tool universale per decifrare i file presi in ostaggio dal ransomware GandCrab.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto