giovedì 2 febbraio 2017

Spora si aggiorna : il ransomware diventa sempre più pericoloso!


Abbiamo già parlato del ransomware Spora, che sembra essere, a giudicare dalla complessità che lo contraddistingue, uno dei probabili "RaaS" (Ransomware as a Service) di punta del cyber crimine. Come abbiamo già visto Spora si differenzia dagli altri ransomware per le molteplici opzioni di pagamento del riscatto: questo potrebbe infatti consentire un maggior volume di pagamenti rispetto ad un ransomware che richiede una unica, alta, soluzione di pagamento.

Già sono varie le campagne di diffusione di questo ransomware (ne abbiamo parlato qui): qualche giorno fa è stata invece individyuata una nuova tecnica di difussione di questo ransomware

Poiché l'infezione si sta diffondendo molto rapidamente e il pericolo di rimanerne vittime è alto, diventa davvero importante conoscere come funziona questo virus, in modo da trovarsi preparati di fronte alla minaccia.

L'attacco avviene attraverso "Chrome Font Pack"...

"EITest" è una catena di infezioni, ormai ben documentata, che compromette siti web per reindirizzare gli utenti verso pagine web dannose contenenti exploit kit. 
EITest è coinvolto in una grande quantità di infezioni di ransomware, app per il furto dei dati e altri malware ormai dal 2014. Nel caso in esame, compromette siti web legittimi aggiungendo un codice javascript alla fine della pagina. Questo codice causa una modifica della pagine che la fa sembrare priva di senso e fa visualizzare un pop-up che indica che Chrome ha bisogno del download di un "Chrome Font Pack" (un fantomatico aggiornamenti del database dei font di Chrome) per visualizzare la pagina correttamente. 

Ecco cosa accade

Fonte: Proofprint
Quando un visitatore fa click sul comando "Update", il popup avvierà automaticamente il download di un file denominato "Update.exe" e lo salvano nella cartella di download di default. 

I criminali poi mostreranno alla vittima una schermata "utile", con indicazioni per trovare il file ed eseguirlo.

La buona notizia è che questo programma una volta scaricato non si avvia automaticamente, ma la vittima deve eseguirlo manualmente per essere infettata. La banda di EITest spera che, facendolo figurare come un aggiornamento di Google Chrome, sia più facile indurre le persone ad eseguire il file. 

Come cripta i file...Precedenti campagne di EITest usavano la stessa tecnica, ma per diffondere un trojan che si limitava a visualizzare in maniera ossessiva alcuni ad. Ora distribuisce appunto Spora: l'esecuzione dell'eseguibile avvierà il processo di criptazione: la gran parte dei file diventerà inaccessibile e inutilizzabile, quindi verrà mostrata la richiesta di riscatto, come da foto sotto.



La decriptazione... 
Purtroppo, in questo momento non vi è alcun modo per decifrare i file crittografati da Spora.
Il massimo che si può fare, per ora, è diffondere quanto più possibile l'informazione, così che, nel caso in cui qualche utente si imbatta in un pop up che invita a scaricare un Font Pack per Chorme, l'utente sappia che deve immediatamente chiudere il browser e non navigare più su quel sito.

1 commento: