Italia sotto attacco: il ransomware Dharma distribuito con ondate di email di spam

E’ stata individuata una campagna di distribuzione del ransomware Dharma contro utenti italiani via email di spam. Il Ransomware Dharma è attivo ormai da qualche anno e si basa su un’altra, pericolosa, famiglia di ransomware chiamata Crysis. E’ inedito questo metodo di diffusione via spam: Dharma si è sempre contraddistinto per l’installazione tramite RDP hackerati.

La campagna è stata individuata da più fonti e, dall’analisi pubblicata dai ricercatori di TGSoft e dal ricercatore indipendente JAMESWT, emerge che sono due, in realtà, i malware in distribuzione: Dharma, appunto, insieme al ben conosciuto keylogger Ursnif.

Le email di spam

Le email di spam sono camuffate da importanti comunicazioni recanti una falsa fattura. L’oggetto email è del tipo “Fattura n. 637 del 14.01.20”. Colpisce immediatamente la correttezza dell’italiano, anche se sono assenti alcuni segni di punteggiatura. Il testo è “credibile” come comunicazione ufficiale, rendendo molto complesso alle vittime comprendere che si è di fronte ad un falso.

Nell’email si trova un link che dovrebbe puntare sulla presunta fattura: il click sul collegamento porta invece l’utente su una pagina di OneDrive che contiene un file chiamato “Nuovo documento2.zip”. L’utente non deve neppure cliccare sul file: questo viene automaticamente scaricato sulla macchina della vittima non appena visita la pagina.

Il file .zip contiene due file: un file VBS chiamato “Nuovo documento 2.vbs” e un file immagine chiamato “yuy7z.jpg” che mostra i record DNS per il dominio tuconcordancia.com.

Se l’utente esegue il file VBS, verranno installati due differenti payload malware. I ricercatori di TGSoft hanno verificato, da questo punto di vista, un comportamento interessante: all’inizio della giornata lo script VB installava Ursniff, trojan specializzato nel furto dei dati, mentre stamattina il file VBS installava il ransomware Dharma.

La versione di Dharma che viene installata utilizza .ROGER come estensione post criptazione. La nota di riscatto reca come contatto l’indirizzo email sjen6293@gmail.com.

Sotto un esempio di file criptati:

Attualmente non c’è possibilità di riportare in chiaro i file criptati da questo ransomware, che, tra le altre cose, si preoccupa di impedire eventuali meccanismi di ripristino del sistema. L’unica soluzione,ad ora, per riavere indietro i propri file è quella di avere a disposizione un backup degli stessi in sede separata dalla macchina infetta. Dharma infatti cripta anche i dati contenuti nei dispositivi collegati alla macchina.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy