Attenzione agli allegati .LNK con ransomware

Il centro di ricerca Microsoft TechNet segnala di aver rilevato in questi giorni una massiccia campagna di diffusione di email contenenti in allegato archivi compressi ZIP multilivello con all’interno file con estensione LNK che, se aperti, infettano il PC con il ransomware Locky o con il click-fraud Trojan Kovter.

La mail si presenta come proveniente da USPS Priority e con oggetto “USPS courier can not deliver parcel #42746295669 to you”, con il seguente testo:

Dear Customer,

This is to confirm that your item has been shipped at January 24.
Please review delivery label in attachment!

Kind regards,
Leslie Riggs,
USPS Support Clerk.

In allegato si trova un archivio ZIP dal nome “Delivery-Receipt-42746295669.zip”, che al suo interno contiene un ulteriore archivio ZIP dal nome “Delivery-Receipt-42746295669.doc.zip” contenente questa volta il vero e proprio dropper, con estensione LNK e avente nome “Delivery-Receipt-42746295669.doc.lnk”.

Il file allegato ovviamente non è un link file di Windows (che avrebbe correttamente estensione .LNK).

 

Il ransomware Locky è ormai ben noto, così come anche i suoi eredi come Zepto, i ricercatori non hanno ancora scoperto come decriptare i file cifrati dal cryptovirus e la quantità d’infezioni rilevate ormai è altissima.

Quando si attiva il ransomware Locky, il PC infettato subisce la cifratura dei file che vengono rinominati aggiungendo l’estensione .OSIRIS e compare sul display questa schermata:

 

E’ però interessante notare come per questa campagna d’infezione i delinquenti abbiano deciso di alternare il cryptovirus con un trojan come Kovter, che visita di nascosto e all’insaputa della vittima, dal suo PC, i siti contenenti banner pubblicitari, cliccandoli così da far guadagnare ai proprietari gli introiti forniti dai publisher dei circuiti di advertising. Tramite diverse istanze di Internet Explorer, infatti, il malware Kovter apre in background i siti, li visita e clicca sui banner di advertising, oltre a inviare al server di controllo alcuni dati del PC che ha infettato.

La pericolosità di Kovter risiede nel fatto che riesce a nascondersi particolarmente bene dagli antivirus che, quindi, non lo rilevano e lo lasciano sopravvivere sui sistemi infettati anche per parecchio tempo.

 

Fonte: http://www.ransomware.it