Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareMinacce

Il nuovo exploit kit Fallout distribuisce il ransomware GandCrab

exploit kit  Fallout  GandCrab  ransomware   venerdì, 7 settembre 2018

L’exploit kit Fallout è stato individuato per la prima volta alla fine di agosto 2018 da un ricercatore di sicurezza indipendente giapponese (nao_sec) e successivamente analizzato dagli esperti di FireEye. Fallout viene installato su siti Web controllati dai cybercriminali. Le vittime vengono reindirizzate verso questi siti mediante link fraudolenti inseriti in Email malevole. L’exploit kit tenta quindi di compromettere i PC degli utenti sfruttando due vulnerabilità note, una di Adobe Flash Player (CVE-2018-4878) e una del motore di scripting VBScript di Microsoft Windows (CVE-2018-8174).

Nella prima campagna individuata, mirata principalmente a Giappone, Corea e altri paesi dell’area Asia Pacifica, Fallout scaricava e installava sulle macchine infette SmokeLoader, un trojan con funzionalità di downloader di altri malware. Più recentemente, secondo quanto riportato da FireEye, questo exploit kit ha iniziato ad installare il ransomware GandCrab sulle macchine Windows e a redirigere gli utenti macOS verso pagine Web che tentano di convincerli, con tecniche di social engineering, a scaricare falsi antivirus (Figura 1) o versioni malevole di Adobe Flash Player contenenti malware (Figura 2).

Fallout Mac 1

Figura 1: schermata di download di falso antivirus per Mac (fonte: FireEye)

Fallout Mac 2

Figura 2: falso avviso di installazione di Adobe Flash Player per Mac (fonte: FireEye)

Il post originale di FireEye contiene un’analisi dettagliata di questa minaccia, inclusi svariati IoC. La capacità di individuazione della variante di GandCrab diffusa da Fallout da parte dei più diffusi antivirus risulta molto elevata.

Al fine di prevenire la possibilità di cadere vittime di questa minaccia informatica, si raccomanda agli utenti di installare tutti gli aggiornamenti di sicurezza disponibili per il proprio sistema operativo (Window o macOS) e di aggiornare Flash Player all’ultima versione disponibile.

Notizie correlate

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Nuova variante del ransomware Dharma utilizza l’estensione “.brrr”

17 settembre 2018

È stata scoperta una nuova variante della famiglia di ransomware Dharma che appende l'estensione ".brrr" ai file cifrati.Leggi tutto

Il nuovo ransomware PyLocky colpisce paesi europei

11 settembre 2018

I ricercatori di sicurezza di Trend Micro hanno scoperto PyLocky, un nuovo esemplare di ransomware distribuito prevalentemente in Germania e Francia.Leggi tutto