Il cybercrime lancia una nuova campagna malspam in tutto il mondo per diffondere il ransomware Avaddon. Il vettore è la botnet phorpiex (trik) e il testo della mail contiene solo emoticon e una falsa foto

Nuova campagna malspam del cybercrime in tutto il mondo, che sfrutta una nuova versione del ransomware Avaddon. Lo denunciano gli esperti di cyber security del CSIRT-Italia. Secondo i ricercatori che l’hanno scoperta, il vettore per diffondere il malware è la botnet phorpiex (trik). Le email malevole sono composte unicamente da una emoticon e da una frase in oggetto, che inducono gli utenti ad aprire la foto allegata in formato .zip (IMG“number”.jpg.js.zip). L’allegato è in realtà un file JavaScript malevolo mascherato da immagine in formato .jpg. È importante sottolineare che Windows, come impostazione di default, nasconde le estensioni dei file, permettendo, come in questo caso, di far apparire il file come legittimo. Una volta eseguito, vengono lanciati alcuni comandi di Powershell e Bitsadmin utili a scaricare il ransomware nella cartella %Temp%. Successivamente i file presenti nel computer vengono criptati e viene aggiunta l’estensione .avdn.