Ransomware Dharma

08 Aprile 2020



Ci segnalano due riproposizioni malevoli particolarmente invasive in questo periodo:

Malware Dharma, attraverso una mail di Phishing si presenta come una fattura non pagata e cifra l'hard disk. Il ransomware pare aver preso di mira un bersaglio particolare: gli utenti italiani di Windows. Diversi esperti di sicurezza hanno notato l'apparire di questa campagna di spam, il cui scopo è installare sui Pc il keylogger Ursniff. Il malware si diffonde attraverso email che si spacciano per fatture recenti, includono un testo scritto in un "italiano decente" e offrono un link che rimanda ad un servizio cloud (generalmente OneDrive) da cui scaricare un file zip.
Il download si avvia immediatamente non appena si visita la pagina. All'interno dell'archivio ci sono due file: un'immagine jpg e un VBScript dal nome “Nuovo documento 2.vbs”. Quando si esegue quest'ultimo file avvia l'installazione del malware vero e proprio. I file personali vengono crittografati ed alle versioni illeggibili viene apposta l'estensione .Roger. Infine appare la richiesta di riscatto. La particolarità sta nel fatto che non viene indicata una cifra da pagare, ma piuttosto un indirizzo email da contattare per ottenere i dettagli per il pagamento.

Allo stato attuale non c'è modo di decifrare i file crittografati da Dharma.

La seconda, non meno invasiva fa riferimento ad un massivo invio di sms per false informazioni bancarie/postali su restrizioni relative all'emergenza COVID 19. Si tratta del cosiddetto fenomeno di smishing, termine che deriva dall'unione delle parole sms e phishing, dove l'ultimo termine indica la "pesca" dei dati.
Nel messaggio viene chiesto di cliccare su un collegamento che indirizza a una pagina web di log-in identica a quella di una banca, attraverso una connessione criptata, quindi apparentemente sicura.
Il messaggio con mittente di un istituto bancario recita testualmente: ”a causa del virus COVID 19 posta/banca impone nuove restrizioni che determinano il blocco del conto si prega di sbloccarlo tramite link (con a volte l’inserimento dell’acronimo dell’Istituto bancario/postale”). La trappola scatta quando gli utenti, dopo aver cliccato sul link, approdano in siti accuratamente artefatti che chiedono l'inserimento di dati personali.

Sia in un caso che nell’altro possiamo esservi d’aiuto con soluzioni che spaziano dal Backup in cloud, all’individuazione del phishing, fino ad arrivare a soluzioni antimalware.



Altre News:

  • ASSISTENZA

    031.444.00 r.a.
    031.7073755
    Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
    Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
    Assistenza Remota
    Assistenza Tecnica
    I Nostri Portali
    Lavora con noi
  • AREA CLIENTI