SpriteCoin usa l’interesse crescente per le cryptocurrencies come esca per catturare prede

C’è un nuovo ransomware travestito da wallet di una presunta cryptocurrency, chiamata SpriteCoin (alias MoneroPay). Lo hanno scoperto gli esperti di sicurezza informatica del FortiGuard Labs di Fortinet. Si sa ancora poco di questo malware, che prseumibilmente viene distribuito con tecniche di social engineering, via email o con messaggi inseriti in forum. Il denominatore comune è il tema delle criptovalute. I cyber esperti hanno anche individuato un sito Web dedicato a SpriteCoin. In realtà, come ricorda il Computer Emergency Response Team (CERT) nazionale italiano, questa valuta digitale non esiste. E’ stata creata da hacker del cybercrime come esca, sfruttando il crescente interesse generale per le monete virtuali, a seguito della loro elevata volatilità e dei tassi di crescita esponenziali, che si sono registrati nell’ultimo anno. Peraltro, non è un “prodotto” tradizionale di questo tipo. E’ molto pericoloso e lo è doppiamente se si decide di pagare il riscatto.

Il ransomware, travestito wallet, chiede il pagamento di 0,3 Monero. Intanto cerca anche di rubare le credenziali memorizzate sui Browser

Il ransomware travestito da cybercurrency wallet, una volta scaricato e lanciato sul PC della vittima, richiede all’utente l’inserimento di una password per proteggere il portafoglio. Successivamente, SpriteCoin mostra un indicatore di progresso, che illustra l’avanzamento del presunto scaricamento della blockchain. In realtà, durante questa operazione il malware sta cifrando i file dell’utente. Una volta terminata questa fase, l’applicativo malevolo mostra la nota di riscatto in una finestra del browser predefinito. Per sbloccare i file, il cybercrime chiede il pagamento di 0,3 Monero (circa 72 euro). Peraltro, SpriteCoin non si limita a cifrare i file. Cerca anche di rubare le credenziali memorizzate localmente dai browser Chrome e Firefox. Le informazioni sottratte vengono poi inviate in forma cifrata a un sito Web remoto attraverso la rete TOR.

Il pagamento del riscatto è una truffa. Il cybercrime invia alla vittima un altro malware, invece che gli strumenti per decrittare i file

SpriteCoin nasconde anche un’altra trappola. Le vittima del ransomware che decidono di pagare il riscatto al cybercrime non riceveranno la chiave di decodifica. Ma un secondo malware, in grado di accedere alla webcam e compromettere chiavi e certificati memorizzati sul PC. E al momento non sono noti metodi o tool per decifrare i file bloccati dal falso cryptocurrency wallet. Di contro, però, l’applicativo malevole viene identificato facilmente dai più diffusi antivirus.

La schermata della richiesta di riscatto-truffa di SpriteCoin (photo credits: Fortinet)

L’analisi dettagliata di Fortinet sul malware