Ultimi aggiornamenti sul ransomware FTCODE

Oggi 18 novembre 2019 il CERT-PA ha diffuso un nuovo alert di una nuova campagna di spam volta a diffondere il ransomware FTCODE. Come già in passato per la diffusione del malware viene utilizzata una e-mail PEC con all’interno un unico link. Il link punta ad un file .ZIP, che attualmente si trova su Dropbox, all’interno del quale si trova un file .VBS, che contiene l’eseguibile del ransomware. Il testo dell’email è preso da una precedente conversazione email della vittima, così da indurla a credere di essere di fronte al proseguo di uno scambio già avviato.

Per sembrare affidabile il malware mostra l’immagine che segue:

Fonte: https://www.cert-pa.it/

Al momento sono in corso analisi dettagliate. In diffusione una nuova versione del ransomware, la 1117.1: anche questa versione, come la precedente, cripta la chiave inviata al C&C, genera tutti i parametri usati per il meccanismo di criptazione in maniera causale ed esfiltra i dati personali dell’utente, ad esempio le password. Un’altra somiglianza con la versione precedente è che anche la nuova versione viene distribuita insieme alla backdoor JasperLoader.

Qualche accenno su JasperLoader
Questo malware, che colpisce solo gli utenti italiani, viene continuamente implementato dagli attaccanti per sfuggire alle attività di controllo intraprese dalle aziende antivirus. Gli esperti di Cisco ci dicono che “Le campagne attualmente in corso per la distribuzione di JasperLoader continuano a colpire vittime italiane e dimostrano ulteriormente che, sebbene JasperLoader sia una minaccia relativamente nuova nello spazio di distribuzione del malware, gli sviluppatori che lo gestiscono continuano a perfezionare e migliorare attivamente questo malware ad un ritmo sempre più veloce e con una sofisticazione senza precedenti nell’ambito dei malware a sfondo finanziario”.
Le versioni più recenti di JasperLoader infatti, mostrano l’implementazione di strumenti volti all’elusione dei controlli dei software antivirus (ad esempio l’offuscamento del codice) e meccanismi antisandbox / antihoneypot per impedire ai ricercatori la possibilità di analizzare il codice dannoso.

JasperLoader è una backdoor che garantisce agli attaccanti l’accesso remoto ad una macchina: questo significa che, anche in caso di risoluzione di un’infezione malware, gli attaccanti conservano comunque un accesso remoto al sistema infetto. Per questo viene utilizzano nella diffusione di più malware, dal trojan Gootkit al ransomware Maze (per limitarci agli ultimi mesi).

Ad ora non esiste una soluzione per recuperare i file una volta cifrati senza pagare il riscatto, quindi dobbiamo, SEMPRE, prestare molta attenzione prima di cliccare su un link o aprire l’allegato a una mail.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy