Cybersecurity

Email dal corriere USPS? Si tratta di un ransomware Locky e trojan Kovter

10 Febbraio 2017

Microsoft ha segnalato la crescente diffusione di una campagna virale in grado di diffondere il ransomware Locky e il trojan Kovter.

La diffusione avviene per email attraverso messaggi provenienti dal sedicente corriere USPS (nome che letto distrattamente può far pensare al ben più noto marchio che si occupa di consegne e spedizioni) che dichiara che non può consegnare un pacco.
Il “corriere” non deve consegnare un bel niente ovviamente, e allegato alla email c’è un file compresso (ZIP) che contiene un ulteriore file compresso (ZIP) il quale a sua volta contiene un file con estensione .LNK.

Normalmente in Windows i file con estensione .LNK rappresentano collegamenti o puntatori a un file o a una cartella, e sono quindi perfettamente legali.
Personalmente bloccherei a livello di mailserver le email contenenti allegati .LNK perché un file di tipo collegamento per email non serve assolutamente nulla.

Il problema è che in questa campagna i file .LNK sono degli script PowerShell.
L’esecuzione di uno di questi file comporta lo scaricamento del ransomware Locky, che viene prelevato da indirizzi generati “casualmente” e quindi difficili da bloccare.

Una volta entrato in circolo questo ransomware cifra i file e poi mostra le consuete istruzioni di richiesta di riscatto.

Purtroppo a oggi non esistono decrittatori per Locky. Informazioni più tecniche sul virus le puoi trovare su Ransomware.it.

La curiosità di questa campagna è che, alternativamente al virus Locky, può installare il virus Kovter, un trojan capace di nascondersi molto bene dagli antivirus e che apparentemente non fa nulla.

Se all’utente pare che nulla accada, in realtà usando istanze di Internet Explorer, Kovter naviga “di nascosto” su alcuni siti e clicca su alcuni banner, facendo guadagnare i proprietari di questi circuiti pubblicitari. In secondo luogo questo virus è in grado di inviare dati sul PC dove è installato ai propri server di riferimento.

Uno dei motivi per cui questo tipo di virus è pericoloso è che è difficile da individuare, perché si tratta di un virus senza file.

Kovter si annida all’interno del registro di Windows e manda in esecuzione alcuni suoi componenti ogni volta che viene avviato il computer.

Per questa sua particolare capacità di nascondersi può rimanere a lungo indisturbato all’interno dei PC prima di essere rilevato.

Un articolo (in inglese) spiega la procedura per sbarazzarsi di Kovter .

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.