Aggiornamenti recenti Aprile 19th, 2024 9:00 AM
Lug 09, 2018 Marco Schiaffino In evidenza, Malware, Minacce, News, Ransomware, RSS, Trojan 0
Sappiamo benissimo che i pirati informatici agiscono solo sulla spinta del desiderio di guadagnare denaro. Negli ultimi mesi, infatti, abbiamo assistito a un cambio di strategia generalizzato: al posto di diffondere ransomware (che hanno garantito incassi record nel 2017) stanno sempre più spesso usando malware che installano sui PC infetti dei classici miner, software che usano la potenza di calcolo del computer per generare cripto-valute.
Gli autori della nuova variante di Rakhni, però, sono andati oltre e hanno a messo a punto uno schema che gli permette di ottimizzare i guadagni scegliendo caso per caso quale strategia adottare. Rakhni è un malware comparso per la prima volta nel 2013, che ora è stato “riveduto e corretto” per una nuova campagna di attacchi.
Come spiegano i ricercatori di Kaspersky in un dettagliato report, il trojan viene diffuso via email sotto forma di un falso PDF che contiene in realtà un file eseguibile. Una volta aperto, il file avvia una procedura d’installazione “camuffata” in modo da sembrare quella di un plugin di Adobe. Se la vittima acconsente all’esecuzione, compare un falso messaggio di errore (che giustifica la mancata apertura del PDF) mentre il trojan ha campo libero.
Ed è qui che le cose si fanno molto interessanti. Il malware, infatti, contiene diversi moduli e sceglie quale avviare a seconda delle caratteristiche del computer.
La sua prima opzione è quella di agire come ransomware avviando la crittografia dei file presenti sul disco fisso. Gli autori del trojan, però, hanno deciso di colpire solo le eventuali vittime che utilizzano già Bitcoin. Il malware, infatti, esegue come prima azione un controllo per verificare se esista la cartella predefinita per la memorizzazione dei dati relativi al wallet Bitcoin (%AppData%\Bitcoin) e avvia la crittazione dei dati solo se il controllo da esito positivo.
Difficile capire il perché di questa scelta, ma è logico supporre che i cyber-criminali preferiscano colpire solo chi ha già una certa familiarità con le cripto-valute e possa quindi pagare rapidamente il riscatto richiesto. La richiesta di pagamento viene copiata in ogni cartella crittografata ed è contenuta in un file chiamato MESSAGE.txt.
Nonostante gli avvertimenti contenuti nel messaggio dei pirati, che sconsigliano di usare strumenti di terze parti per cercare di recuperare i dati presi in ostaggio, i ricercatori fanno notare che i file possono essere decodificati utilizzando il tool gratuito messo a punto nell’ambito del progetto No More Ransom.
Se invece il disco fisso non contiene una cartella dedicata ai Bitcoin, Rakhni esegue un ulteriore controllo sulle caratteristiche del PC colpito, verificando in particolare il numero di processori logici disponibili. Se ce ne sono almeno due, il trojan installa un miner che sfrutta la potenza del PC per generare Monero e Dashcoin.
Se invece il computer non è appetibile per questo tipo di attività, Rakhni si “limita” ad avviare un terzo modulo che gli permette di diffondersi alle altre macchine collegate nella rete locale attraverso un vettore di attacco simile a quello di un worm.
Apr 19, 2024 0
Apr 16, 2024 0
Apr 12, 2024 0
Mar 29, 2024 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 19, 2024 0
Il mondo del cybercrimine continua a mettere in difficoltà...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...