Aggiornamenti recenti Dicembre 5th, 2025 4:48 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Iniezione indiretta di prompt: a rischio le informazioni aziendali
- Dark Telegram in ritirata: aumentano le chiusure dei canali clandestini
- PickleScan, scoperti tre bug 0-day che permettono di iniettare payload malevoli nei modelli ML
- ShadyPanda: oltre 4 milioni di browser infetti in una campagna durata 7 anni
- Coupang conferma il data breach: esposti i dati di oltre 30 milioni di utenti
Filecode: il ransomware “Made in Italy” per Mac è un disastro
Il malware è stato distribuito attraverso siti che promettono il crack di noti software per Mac. Sophos: “i file si recuperano in 42 secondi”.
Popolo di santi, navigatori e… aspiranti pirati informatici. Su questo ultimo aspetto, però, sembra che per gli italiani ci sia da ancora da lavorare.
Un giudizio impietoso sui cyber-criminali di casa nostra arriva dai ricercatori di Sophos, che hanno individuato e analizzato un ransomware per sistemi Mac che, infatti, sembrerebbe essere stato messo a punto da programmatori italiani.
Se vogliamo rimanere aderenti alla retorica che vorrebbe classificare gli italiani come un popolo “creativo”, nel caso di Filecode le premesse ci sarebbero tutte.
Filecode è uno dei pochi ransomware che prendono di mira gli utenti Mac, che nell’ottica dei pirati sono tra le vittime più appetibili. Il motivo è sempre lo stesso: troppi aficionados della Mela hanno la cattiva abitudine di non usare un antivirus e contare solo sulla supposta “immunità” dei loro computer ai malware.
Le sufficienze in pagella per i pirati che stanno cercando di distribuire Filecode su Internet, però, finiscono qui. Tanto che, secondo i ricercatori che hanno studiato il malware, l’attacco ha buone probabilità di finire in una bolla di sapone a causa di una grossolana approssimazione da parte dei cyber-criminali in questione.
Gli autori di Filecode, infatti, non stanno utilizzando Exploit Kit o campagne di phishing per diffondere il ransomware, ma hanno avviato una campagna di distribuzione che si basa esclusivamente sulla distribuzione del malware attraverso siti Internet che propongono crack per software commerciali.
Una tecnica che offre indubbiamente dei vantaggi (l’installazione del malware riceve il consenso dell’utente senza troppi problemi) ma che difficilmente potrà coinvolgere un gran numero di utenti.
I ricercatori hanno individuato tre versioni del ransomware. Due di queste sono “travestite” da crack per Adobe Premiere e Office, mentre una terza si chiama semplicemente “Prova” e sembra una sorta di beta del malware. Abbastanza, però, per attribuirne la creazione a programmatori italiani.
Il fatto che una delle versioni sia chiamata “Prova” è un indizio sufficiente per attribuire la creazione del malware a un gruppo italiano.
Se la strategia di diffusione non è particolarmente efficace, le caratteristiche tecniche del ransomware sembrano essere ancora peggiori.
Secondo i ricercatori di Sophos, infatti, Filecode sconta numerosi difetti. Prima di tutto il ransomware usa alcuni strumenti del sistema operativo per individuare i file dell’utente e crittografarli. Peccato lo faccia in maniera approssimativa, con il risultato che la crittografia dei documenti ha buone possibilità di interrompersi dopo poco.
Non solo: anche il sistema di crittografia, che dovrebbe rendere inaccessibili i dati al legittimo proprietario e indurlo a pagare un riscatto per ottenere la chiave crittografica con cui decodificare i dati, è decisamente “debole”.
Gli autori di Filecode non hanno infatti utilizzato un sistema di crittografia “forte” per blindare i file, ma hanno scelto una procedura piuttosto banale, che sfrutta gli archivi compressi protetti da password.
Il ransomware, in pratica, crea una copia compressa (e crittografata) di tutti i file che trova e cancella gli originali, usando i comandi di Mac OS X.
I file ZIP creati dal ransomware sono protetti da una password di 25 caratteri generata automaticamente da Filecode. Questo significa, in primo luogo, che tutti i file presi in ostaggio sono protetti dalla stessa password. Trovata questa, i file possono essere recuperati.
In teoria, per ottenere la password le vittime dovrebbero eseguire un pagamento di 0,25 Bitcoin (circa 300 euro) mettendosi in contatto con i pirati attraverso uno specifico indirizzo email. Gli stessi criminali, poi, garantirebbero la restituzione dei file entro 24 ore attraverso un sistema di controllo remoto riguardo il quale non forniscono maggiori dettagli.
La procedura può essere accelerata pagando un riscatto superiore (circa 500 euro) che permetterebbe di ottenere la restituzione dei file in 10 minuti.
Stando a quanto scrivono i ricercatori di SOphos, però, è molto probabile che la stessa proposta di restituzione dei file sia una truffa. Dalle loro analisi del malware, infatti, non risulta che a password sia memorizzata nel codice del ransomware o inviata in qualche modo ai suoi autori.
Insomma: è molto probabile che nemmeno loro abbiano il codice per decodificare i file e che le vittime che decidono di pagare il riscatto finiscano per non ottenere nulla. A meno che, in seguito al pagamento, gli scalcagnati pirati non si limitino a eseguire il crack dei file ZIP.
I test dei ricercatori Sophos, infatti, hanno verificato che gli archivi compressi possono essere decodificati utilizzando PKCRACK (scaricabile da qui) in appena 42 secondi. L’unico prerequisito è quello di avere a disposizione una copia integra di uno dei file crittografati.
Chi dovesse rimanere vittima di Filecode, quindi, può riottenere tutti i suoi file in una manciata di minuti attraverso un software gratuito.
Condividi l'articolo
Il trojan Dridex ora si diffonde con l’attacco “AtomBombing”
Estensione PGP per Gmail: ora E2EMail è open source
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Iniezione indiretta di prompt: a rischio le informazioni... Lakera, società di Check Point, ha pubblicato una ricerca... -
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima... -
Come Firemon supporta i propri partner nel processo di... Lo scorso marzo Skybox Security, società israeliana di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Dark Telegram in ritirata: aumentano le chiusure dei canali... Dark Telegram, il regno dei canali clandestini, non sembra... -
PickleScan, scoperti tre bug 0-day che permettono di... I ricercatori di JFrog Security Research hanno... -
ShadyPanda: oltre 4 milioni di browser infetti in una... Una campagna durata sette anni che ha infettato 4.3... -
Coupang conferma il data breach: esposti i dati di oltre 30... Coupang, colosso del retail sud-coreano, ha confermato di... -
CERT-AGID 22–28 novembre: boom di phishing PagoPA e nuovi... Nel periodo compreso tra il 22 e il 28 novembre,...
Ransomware: la serie
No posts found.
2 thoughts on “Filecode: il ransomware “Made in Italy” per Mac è un disastro”