Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il ransomware Hermes distribuito mediante allegati Word malevoli

Hermes  ransomware   lunedì, 30 luglio 2018

È stata recentemente individuata una campagna di Email malevole con allegati documenti Microsoft Word infetti che scaricano sul computer della vittima il ransomware Hermes.

Come riportato da un ricercatore indipendente sul sito Internet Storm Center, le Email provengono da indirizzi facenti capo al dominio anjanabro.com e contengono come allegato un documento Word protetto da password.

Il testo del messaggio, destinato prevalentemente ad aziende, sembra provenire da un soggetto in cerca di lavoro e l’allegato dovrebbe contenere il curriculum di questa persona. Una volta scaricato e aperto il documento, viene richiesta l’introduzione di una password per sbloccare la visione del contenuto. La password, molto banale (“321”), è inclusa nel testo dell’Email. Successivamente all’inserimento della password viene richiesta l’attivazione delle macro.

Se la vittima acconsente incautamente all’esecuzione delle macro, il codice malevolo all’interno del documento si connette ad un server remoto e scarica direttamente sul PC un eseguibile malevolo chiamato “green.exe”. Questo eseguibile non è altro che una variante del noto ransomware Hermes, probabilmente la versione 2.1.

Hermes è già stato utilizzato all’inizio del 2018 in attacchi mirati ad obiettivi Sudcoreani. All’epoca il malware veniva scaricato mediante l’exploit di una vulnerabilità zero-day di Adobe Flash (CVE-2018-4878).

Questo ransomware non è particolarmente sofisticato. Come molti altri malware di questa categoria, Hermes utilizza gli algoritmi AES per cifrare i file e RSA per proteggere la chiave di cifratura. I file cifrati non vengono rinominati. Alla termine della fase di cifratura viene mostrata alla vittime la nota di riscatto in formato HTML (file: “DECRYPT_INFORMATION.html”).

Nota di riscatto di Hermes

La nota di riscatto del ransomware Hermes (fonte: ISC)

Per un’analisi completa di questo ransomware, inclusi svariati IoC, si rimanda al seguente post di Malwarebytes Labs (in Inglese):

La capacità di individuazione di Hermes da parte dei più diffusi antivirus risulta piuttosto elevata, mentre il file Word malevolo con funzione di downloader viene riconosciuto al momento solo da cinque antivirus.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Scoperta variante del ransomware Rakhni con capacità di miner

6 luglio 2018

I ricercatori di Kaspersky Lab hanno individuato una nuova variante del ransomware Rakhni che introduce una funzionalità per il mining di criptovalute.Leggi tutto

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto

Scoperta nuova variante del ransomware GandCrab

24 aprile 2018

È stata recentemente individuata in-the-wild una nuova variante del noto ransomware GandCrab diffusa principalmente mediante Email malevole. Leggi tutto