Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

SpriteCoin: il ransomware travestito da criptovaluta

monero  ransomware  SpriteCoin   venerdì, 26 gennaio 2018

Gli esperti del FortiGuard Labs di Fortinet hanno individuato un nuovo esemplare di ransomware che si spaccia per portafoglio di una fantomatica criptovaluta chiamata SpriteCoin.

In realtà questa criptovaluta non esiste ed è stata “creata” dai cybercriminali unicamente per sfruttare il crescente interesse degli utenti verso queste tipologie di moneta virtuale, con annesse speranze di facili guadagni.

Anche se il vettore di infezione non è al momento certo, gli analisti ritengono che il ransomware SpriteCoin venga distribuito prevalentemente mediante tecniche di ingegneria sociale, via Email o con messaggi inseriti in forum sul tema delle criptovalute. Gli esperti hanno anche individuato un sito Web dedicato a SpriteCoin.

Una volta scaricato e lanciato sul PC della vittima, l’applicativo malevolo SpriteCoin (un eseguibile Windows chiamato “spritecoind[.]exe”) richiede all’utente l’inserimento di una password per proteggere il portafoglio. Successivamente, il malware mostra un indicatore di progresso che illustra l’avanzamento del presunto scaricamento della blockchain (il registro virtuale distribuito delle transazioni delle criptovalute). In realtà, durante questa operazione il ransomware sta cifrando i file dell’utente.

SpriteCoin cifra tutti i file con le seguenti estensioni:

.c, .txt, .py, .doc, .rtf, .cpp, .cc, .go, .tcl, .html, .ppt, .docx, .xls, .xlsx, .pptx, .key, .pem, .psd, .mkv, .mp4, .ogv, .zip, .jpg, .jpeg, .work, .pyw, .h, .hpp, .cgi, .pl, .rar, .lua, .img, .iso, .webm, .jar, .java, .class, .one, .htm, .js, .css, .vbs, .7z, .eps, .psf, .png, .apk, .ps1, .gz, .wallet.dat, .id_rsa

Ai file cifrati, che non vengono rinominati, viene aggiunta l’estensione “.encrypted”.

Una volta terminata la fase di cifratura, SpriteCoin mostra la nota di riscatto in una finestra del browser predefinito (vedi immagine).

Nota di riscatto di SpriteCoin

La nota di riscatto di SpriteCoin (fonte: Fortinet)

Per riscattare i file presi in ostaggio, questo ransomware richiede alle sue vittime il pagamento di 0,3 Monero (una criptovaluta reale con simbolo XMR), equivalenti ad oggi a circa 72 €.

Oltre a cifrare i file sul computer, SpriteCoin tenta di rubare le credenziali memorizzate localmente dai browser Chrome e Firefox, che vengono successivamente inviate in forma cifrata ad un sito Web remoto attraverso la rete TOR.

Stando a quanto riportato dai ricercatori che hanno analizzato questo malware, se la vittima decide di pagare il riscatto (cosa che si raccomanda di non fare in nessun caso), invece di ricevere lo strumento per decifrare i file, gli viene impiantato sulla macchina un secondo malware in grado di accedere alla webcam e compromettere chiavi e certificati memorizzati sul PC.

Il post originale di FortiGuard Labs contiene un’analisi più dettagliata di SpriteCoin, inclusi svariati indicatori di compromissione (IoC).

Al momento non sono noti metodi o tool per decifrare i file presi in ostaggio da questo ransomware. Fortunatamente, la capacità di individuazione di SpriteCoin, conosciuto anche come MoneroPay, da parte dei più diffusi antivirus risulta molto elevata.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

MassMiner: nuovo malware per il mining di criptovalute attacca server vulnerabili

4 maggio 2018

I ricercatori di Alien Vault hanno identificato una nuova famiglia di malware per il mining di criptovalute, battezzata MassMiner, che si diffonde come un worm sfruttando un gran numero di exploit per diversi sistemi e server.Leggi tutto

Scoperta nuova variante del ransomware GandCrab

24 aprile 2018

È stata recentemente individuata in-the-wild una nuova variante del noto ransomware GandCrab diffusa principalmente mediante Email malevole. Leggi tutto

Il nuovo ransomware WhiteRose colpisce in Europa

9 aprile 2018

I ricercatori di sicurezza del MalwareHunterTeam hanno individuato un nuovo esemplare di ransomware denominato WhiteRose, basato sulla famiglia InfiniteTear.Leggi tutto