I ricercatori di Cyble hanno scoperto un’altra tecnica usata da ignoti cybercriminali per distribuire wiper. Le ignare vittime vengono invitate a scaricare immagini da alcuni siti per adulti che nascondono un ransomware fasullo. L’obiettivo è ricevere i soldi del riscatto per un decrypter inesistente. Gli utenti dovrebbero installare una soluzione di sicurezza che blocca il download di file infetti.
Wiper nascosto nelle foto sexy
I link ai siti per adulti vengono pubblicizzati sui siti di dating. Gli utenti sono invitati a scaricare file con doppia estensione, ad esempio SexyPhotos.JPG.exe. Dato che Windows non mostra l’estensione per impostazioni predefinita, la vittima vede solo il nome SexyPhotos.JPG. Un doppio clic sul file innesca la catena di infezione. Sul computer vengono installati quattro file eseguibili (del.exe, open.exe, windll.exe e windowss.exe) e un file batch (avtstart.bat) nella directory TEMP. Il file batch copia gli eseguibili nella directory di esecuzione automatica per la persistenza.
Il file windowss.exe scarica altri tre file, tra cui windowss.bat che contiene i comandi per rinominare i file, simulando il funzionamento di un ransomware. In realtà i file originali non vengono cifrati. In un file di testo ci sono le istruzioni da seguire per pagare il riscatto (300 dollari in Bitcoin).
Lo scopo dei cybercriminali è cancellare tutti i file dai drive collegati, ad eccezione di C:\. Fortunatamente il file che effettua questa operazione (del.exe) non viene eseguito perché nel file batch è stato scritto dell.exe per errore. I consigli per evitare simili pericoli sono sempre gli stessi: effettuare backup regolari dei dati, evitare clic su link provenienti da fonti sconosciute e utilizzare un buon antivirus.
Ti potrebbe interessare
10 ott 2022