Sul Locky Express c’è chi fa phishing senza biglietto

L’improvvisa apparizione di Locky è stata una vera e propria festa mediatica: un ransomware capace di adattarsi rapidamente, una robusta crittografia, vittime illustri e un pizzico di paranoia su quale degli attuali software di sicurezza fosse veramente in grado di bloccare questa minaccia, offrivano ai media tutto ciò che potessero desiderare.

CaptureLa situazione non era certo delle migliori. E quel che è peggio, proviamo a metterci nei panni di un pirata informatico ambizioso che vende e distribuisce un malware diverso e meno efficace: 1. ci facciamo prendere dalla gelosia, 2. ci guardiamo intorno alla ricerca di nuove possibilità; 3. rinnoviamo l’immagine dei nostri prodotti in modo tale che scatenino le forti reazioni emotive legate al malware “invisibile”, ossia timore, incertezza e paura, e che contengano un messaggio delle autorità in grado di tranquillizzare il lettore.

Il risultato è un messaggio di phishing che sembra provenire dal Bundeskriminalamt, ossia dalla Polizia federale tedesca. E mentre l’email dice di fornire un kit per la rimozione di Locky, in realtà contiene l’utilità di download di un trojan bancario. “Stanno cercando di sfruttare la paranoia che si è creata intorno a Locky per infettare gli utenti con un altro malware”, afferma Oscar Anduiza, analista del malware di Avira.

Ma questi ladri non hanno proprio nessun codice d’onore?

CaptureSebbene quest’email abbia una veste piuttosto attuale, il malware non è particolarmente originale. Lo si potrebbe definire “un malware noto sotto mentite spoglie”, aggiunge. Ad ogni modo, indipendentemente dal suo aspetto, Avira lo ha rilevato sin dall’inizio. Questa è l’icona dello strumento contraffatto.

Diversamente da Locky, invece di crittografare i file presenti sul computer lo strumento tenta di fare quanto segue:

sottrarre dai browser (Internet Explorer, Google Chrome, Firefox od Opera) le password dei siti web memorizzate;

sottrarre le informazioni sugli account memorizzate: nomi dei server, numeri di porta, informazioni di login dai client FTP e dai programmi di memorizzazione su cloud;

inviare tutte queste informazioni a un server remoto;

aggiungere diverse copie di sé stesso al computer:

c:\Users\%user%\AppData\Local\sysmon.exe (file nascosto)

c:\Users\%user%\AppData\Roaming\sysmon.exe (file nascosto)

c:\Users\%user%\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\WinUpdate.exe

apportare parecchie modifiche al registro per rimanere funzionante e nascosto:

chiave di registro creata per essere eseguita all’avvio di Windows: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run – “System Monitor”=”C:\Users\%user%\AppData\Local\sysmon.exe”

modificare il valore del registro di sistema per nascondere i file: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced – “Hidden” = “02”

Quindi, quale lezione possiamo trarre?

I pirati informatici sono più consapevoli delle mode di una fashion blogger e bastano loro pochi giorni per lanciare sul mercato una versione “taroccata” di un malware di successo.

La sicurezza inizia da te. Chiamala ingegneria sociale o buon senso: in caso di dubbio non cliccare.

Questo articolo è disponibile anche in: IngleseTedescoFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.