Roma, 19 lug. (askanews) – Un ricercatore del Sans Institute Internet Storm Center ha individuato nelle scorse due settimane un significativo incremento di campagne di Email di spam che distribuiscono archivi compressi in formato Zip contenenti codice JavaScript malevolo che scarica e installa sul Pc della vittima il ransomware NemucodAES e il trojan Kovter.
NemucodAES – riporta il sito del Cert Nazionale – è una variante del trojan downloader Nemucod, noto per essere stato utilizzato come veicolo di distribuzione dei ransomware Locky e TeslaCrypt in diverse campagne di diffusione che hanno colpito anche l’Italia nel 2016. A differenza delle precedenti varianti, NemucodAES non scarica malware da server esterni ma utilizza un proprio componente rensomware interno basato su script. Kovter è un trojan difficile da individuare e rimuovere in quanto, dopo aver infettato il computer, non usa file e rimane attivo solo in memoria. Tramite questo trojan, i cybercriminali sono in grado di attuare tentativi di truffa mediante clic, installare malware aggiuntivi e accedere da remoto alla macchina compromessa.
Le Email fraudolente con allegato il file Zip malevolo appaiono provenire da note società di trasporto e spedizioni. Una volta scaricato e aperto il file Zip allegato, il codice JavaScript malevolo al suo interno scarica e installa NemucodAES e Kovter sulla macchina.
NemucodAES si comporta come la maggior parte dei crypto-ransomware, cifrando i file della vittima mediante una combinazione degli algoritmi RSA-2048 e AES-128 e chiedendo un riscatto in bitcoin (equivalente a circa 1100 euro) per poterli decifrare. NemucodAES non modifica i nomi dei file cifrati. Il ransomware memorizza sul Pc della vittima un file con estensione “.hta” contenente le istruzioni per il pagamento del riscatto e un file con estensione “.bmp” che viene usato per sostituire l’immagine della scrivania.
Mentre NemucodAES non sembra generare traffico di rete, il ricercatore che ha analizzato queste campagne di Email ha individuato scambi di informazioni tra il trojan Kovter e alcuni server C&C, ma non è stato in grado di determinarne lo scopo specifico.
(fonte: Cyber Affairs)