Sextortion con ransomware, la nuova campagna malware scoperta da Proofpoint

10 Dicembre 2018
Posted in Tecnologia
10 Dicembre 2018 Gter

 

Le attività di “sextortion”, in cui i cyber criminali inviano email affermando di possedere informazioni compromettenti sul destinatario, minacciando la segnalazione di numerose attività illecite, stanno diventando sempre più comuni.

In generale, queste email richiedono semplicemente un pagamento per evitare la pubblicazione delle presunte informazioni. I ricercatori Proofpoint hanno rilevato una campagna di sextortion che include anche URL che conducono al codice stealer AZORult, per colpire con il ransomware GandCrab.

Tecniche comuni di sextortion

I ricercatori Proofpoint hanno individuato campagne massicce di sextortion nei mesi scorsa, la maggior parte dei messaggi non conteneva link o allegati, ma:

  • Un avviso sull’avvenuta compromissione del computer del destinatario da parte di uno spyware o di un keylogger.
  • Per rendere l’email ancora più credibile, spesso venivano spesso incluse:
  1. Una password associata all’account di posta, ottenuta in occasione di precedenti violazioni dei dati
  2. Informazioni ottenute da fonti aperte, ad esempio il nome del coniuge, del datore di lavoro o l’occupazione.
  • Accuse di comportamenti online scorretti o della presenza di file inappropriati archiviati sul dispositivo.
  • Richiesta di pagamento in Bitcoin per evitare la segnalazione dei presunti comportamenti scorretti su Internet o ai contatti del destinatario.

Campagna di Sextortion con ransomware

Lo scorso 5 dicembre, Proofpoint ha rilevato una nuova campagna di sextortion costituita da migliaia di messaggi inviati a diversi target, principalmente negli Stati Uniti.

Il messaggio è il consueto, ma include anche un link che presume di condurre al video delle attività compromettenti registrato dal dispositivo. In realtà, il link porta allo stealer AZORult, il quale a sua volta installa il ransomware GandCrab versione 5.0.4 con ID affiliato “168;777”.

Figura 1: Email di Sextortion contenente un URL al codice stealer AZORult

Questo attacco particolare combina diversi livelli di ingegneria sociale per convincere destinatari vulnerabili e spaventati a cliccare sul link per verificare se il mittente sia davvero in possesso di prove di attività illecite.

La presunta password per l’indirizzo email della potenziale vittima sembra essere la stessa dell’account email. Pertanto, in questo caso potrebbe essere semplicemente un bluff.

Se la potenziale vittima clicca, procede con l’installazione di ransomware GandCrab che richiederà un pagamento di 500 dollari in Bitcoin o DASH.

Conclusioni

La sextortion approfitta della paura e dell’insicurezza degli utenti, utilizzando password rubate e altre tecniche di ingegneria sociale per convincerli della loro reputazione a rischio.

L’aggiunta di un link che collega al ransomware che finge di essere un video che mostra le attività illecite dei destinatari è una nuova tecnica, che aumenta il rischio associato a questo tipo di attacco.

Chi riceve email di questo tipo dovrebbe verificare che il mittente non sia effettivamente in possesso di screenshot o video di qualsiasi attività compromettente e non aprire link o allegati per controllare la veridicità delle affermazioni del mittente.

 

, , , , , ,

CONTATTI