Ransom32: il malware che si finge Chrome e sbanca l'Italia

L'ingegneria sociale si conferma l'arma vincente per fare soldi facili con i ransomware. Ransom32, il malware in javascript di cui abbiamo parlato qualche giorno fa, colpisce soprattutto in Italia.

Di Ransom32, infatti, avevamo già dato notizia: un ransomware in javascript che si preannunciava pericoloso perché scritto in un linguaggio che permetteva di essere eseguito su più piattaforme e quindi facilmente trasportabile anche su sistemi operativi diversi da Windows.

Quello che temevamo non si è ancora verificato, ma questo ransomware è arrivato al "successo" lo stesso, seguendo una strada diversa da quella ipotizzata: una campagna di diffusione molto arguta che lo maschera da file di installazione di Chrome.

photo technology advantage content 450x300
La rete di analisi di ESET ha scoperto che l'Italia è particolarmente sensibile a questa variante di Ransomware.

I vettori di infezione sono i soliti: campagne di spam, siti compromessi, trojan downloader e così via, ma quello che trae in inganno gli utenti è proprio il fatto che assomigli al popolare browser di Google.

Aprendo la schermata delle proprietà del file si vede subito che manca la firma digitale e che i campi relativi a nome e versionde del file sono stati cancellati, ma gli utenti meno smaliziati non hanno molte armi per capire che si tratta di un falso.

Anche le dimensioni (45 megabyte) sono corrette, ma una volta lanciato il finto Chrome provvede a installarsi sulla macchina, assicurandosi di venir eseguito a ogni riavvio di Windows.

Poi inizia a criptare i file più utilizzati (j6 .txt, .doc, .jpg, .gif, .AVI, .MOV e MP4) con una codifica AES e chiave a 128 bit.

Un modo di agire tipico, ma con una particolarità in più. Da quel che risulta dai dati di Live Grid, la rete di monitoraggio del malware di ESET, sembra che l'Italia sia il Paese più bersagliato da questo ransomware.

Ben il 6,35% delle infezioni di Filecoder.NFR, come viene chiamata questa versione, tra tutte quelle rilevate a livello mondiale ha colpito computer posti sul nostro territorio nazionale.

Il motivo è probabilmente da ricercare nel fatto che Ransom32 viene "offerto" dai cybercriminali come un servizio a pagamento, rendendo più semplice iniziare le campagne di diffusione, e qualche nostro connazionale ne ha approfittato.

Attraverso un sito Internet nascosto dietro alla rete di anonimizzazione TOR, si può personalizzare il messaggio collegato al malware, decidere l'ammontare di bitcoin da richiedere come riscatto, specificare il portafoglio di bitcoin sul quale depositare il maltolto e di tutto il resto si occupa il sito, fornendo il file preconfezionato già pronto da distribuire.

I gestori del "servizio" chiedono il 25% di commissione su quanto viene raccolto tramite i riscatti, rischiando pochissimo in prima persona dal momento che non sono loro a diffondere il ransomware, ma chi lo commissiona.