Attenzione alle PEC il Cryptolocker arriva anche qui!

Da alcune settimane si sta intensificando la diffusione di ransomware veicolato tramite messaggi di posta elettronica certificata PEC, in parte muniti di regolare firma digitale.

Il testo del messaggi di posta elettronica certificata contenente il ransomware è il seguente:

In allegato originale del documento in oggetto, non sarà effettuato alcun invio postale, se non specificatamente richiesto.
Il documento dovrà essere stampato su formato cartaceo e avrà piena validità fiscale e, come tale, soggetto alle previste norme di utilizzo e conservazione.

I messaggi di posta PEC hanno come oggetto “Invio fattura n. _________” con numeri diversi per ogni vittima o campagna (es. “Invio fattura n. 369067”) e contengono un allegato archivio ZIP, in genere con un nome tipo “fattura_522628.zip” (il numero può variare).

L’archivio ZIP contiene un file in javascript con un nome sulla falsariga di “fattura_522628.js” che contiene il vero e proprio dropper, cioè la parte di criptovirus che si occupa di scaricare il ransomware da siti remoti ed avviarlo sul PC della vittima.

In alcuni casi, l’email PEC è regolarmente firmata tramite firma digitale, come nel caso del cryptovirus inviato mediante servizio PEC “posta-certificata@sicurezzapostale.it”, di cui abbiamo ricevuto un sample con firma elettronica certificata valida e autentica. Ci sono stati già in passato altri casi di malware, virus e trojan distribuiti tramite SPAM via PEC, Posta Elettronica Certificata. Non è ancora chiaro come avvenga la diffusione, certamente la PEC non fa altro che garantire il contenuto e la data d’invio nel momento in cui il mittente – o chi per esso – esegue un invio tramite protocollo SMTP utilizzando le credenziali assegnategli. Non c’è firma digitale o identificazione certa del mittente, quindi potenzialmente qualunque malware entri in possesso delle credenziali di Posta Elettronica Certificata di una vittima può inviare PEC al posto suo.

Funzionamento:

Nel momento in cui l’allegato ZIP viene aperto, che spesso gli antivirus non identificano prontamente, il codice del “downloader” (simile ai “dropper” ma con la differenza che scarica il “payload” da remoto e non lo contiene all’interno) si connette a un sito esterno da cui scarica il payload che infetta il PC e avvia il ransomware vero e proprio, o “payload”, che procede a cifrare i documenti mediante il cryptovirus TorrentLocker lasciando poi un messaggio sul PC della vittima, in file “COME_RIPRISTINARE_I_FILE.txt” lasciati nelle cartelle criptate.

Fonte: ransomware.it