31/08/2016
11:39

Falsa email diffonde il ransomware CryptoZepto, incoronato quale "erede" di CryptoLocky...

Mail con allegato un archivio .ZIP contenente il dropper che, se attivato, scatena l'attacco di nuove e temibili varianti di CryptoZepto!

Il ransomware CryptoZepto giunge nel PC della vittima attraverso e-mail infette, che chiedono l'apertura del loro allegato facendo credere si tratti di fatture o, in questo caso, di scansioni.

Nelle e-mail analizzate dal C.R.A.M si è riscontrato che il dominio del destinatario coincide con quello del mittente. Questo per indurre l'utente a pensare che la e-mail provenga da un mittente sicuro (collega), come ad esempio quello di una persona all'interno della stessa azienda in cui lavora.		 Vai al pagina del Centro Ricerche Anti-Malware di TG Soft 

Riteniamo utile far notare che il mittente delle e-mail analizzate sono caraterizzati dalla seguente struttura: prefisso [document] @ <miodominio.com>, dove [document] vuole indicare che il mittente potrebbe essere, ad esempio, un apparecchio elettronico adibito alla scansione appartenente all'azienda per cui lavora il destinatario. L'indirizzo email del destinatario per rendere maggiormente credibile la e-mail stessa, non può che essere quella dell'effettivo ricevente dove, in particolare si potrà notare la coincidenza del dominio aziendale sia del mittente che del destinatario. L'obbiettivo dell'attaccante è quello di indurre il ricevente nel considerare attendibile la e-mail e procedere "serenamente" ad aprire l'allegato, poichè la e-mail sembra arrivare da un collega o da un dispositivo facente parte della medesima azienda.
          
Analizzando il contenuto della e-mail, abbiamo notato che essa viene spedita con un allegato contienente un archivio .ZIP.

 
Se scaricate l'allegato in questione e estraete l'archivio ZIP seguente [B0408F17A9.zip], vi troverete un file che riporta un nome casuale .WSF (si tratta di un file in formato Microsoft Windows Scripting Format) . Nella e-mail incriminata il file ha il seguente nome  <bsUZ0wE>.

L'archivio ZIP allegato alla e-mail una volta scompattato renderà disponibile un file .WSF che una volta eseguito, si porrà in esecuzione automatica di Windows procedendo cosi a contattare un server remoto dal quale scaricherà ed eseguirà una nuova variante CryptoZepto.

Per maggiori info sulle modalità di attacco e cifratura di ZEPTO alias CryptoZepto, si invita alla consultazione dell'analisi tecnica realizzata dal C.R.A.M al seguente link.

10/07/2016 12:20:42 - Zepto, il ransomware "erede" di CryptoLocky...

Considerazioni finali

Consigliamo, sempre e comunque, di NON farvi sopraffare dalla curiosità, evitando di aprire/eseguire allegati di e-mail sospette che, seppur apparentemente credibili provenendo da indirizzi e-mail noti, possono celare Crypto-Malware di nuova generazione, come il ransomware CryptoZepto, il cui obbiettivo è quello di cifrare i vostri dati più preziosi per poi richiederne un riscatto.



TG Soft
Centro Ricerche Anti-Malware
Torna ad inizio pagina
Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: