skip to Main Content

Cybercrime, nuova campagna malspam per diffondere FTCODE in Italia

Cybercrime, Nuova Campagna Malspam Per Diffondere FTCODE In Italia

Il CERT-PA: Nuova campagna malspam del cybercrime per veicolare il ransomware FTCODE in Italia

Nuova campagna malspam del cybercrime per diffondere FTCODE in Italia. E’ l’allarme lanciato dagli esperti di cyber security del CERT-PA. Gli attacchi cibernetici sfruttano e-mail PEC, all’interno delle quali è presente un unico link, il cui testo è preso dall’oggetto di una precedente conversazione con il mittente. Il collegamento punta a un file ZIP (al momento ospitato su dropbox) con dentro un file VBS. Per apparire legittimo il ransomware scarica e mostra l’immagine di una fattura telefonica. In realtà, se attivato, cripta i file in maniera irreversibile. Per ora, infatti, non è stato trovato nessun sistema per recuperarli, se non pagare il riscatto. La versione del malware diffusa è la 1117.1. Come le precedenti, anche questa versione cifra la chiave inviata al server di C&C, genera tutti i parametri crittografici usati casualmente ed esfiltra i dati personali (come le password) dell’utente.

Gli esperti di cyber security: Attenzione gli attacchi con il malware si sono “incattiviti”. La nuova variante non permette più di individuare la chiave di cifratura

Gli esperti di cyber security ricordano peraltro che recentemente la campagna per diffondere FTCODE in Italia si è “incattivita”. Il cybercrime, che già da alcune settimane sta veicolando il ransomware per colpire strutture della pubblica amministrazione o caselle di aziende e professionisti, l’ha resa più aggressiva. Questa, infatti, a differenza del passato, non permette più di usare le tracce lasciate in chiaro per individuare la chiave di cifratura e liberare i dati con l’ausilio di un decryptor. In particolare, esegue le seguenti operazioni attraverso codice PowerShell: Cifra la chiave prima di comunicarla al C&C, Genera un IV casuale per AES256 e un salt per l’algoritmo PBKDF1. Inoltre, continua ad attivare una serie di funzionalità di “info-stealer”. Lo scopo è catturare le credenziali immagazzinate nei comuni software quali FireFox, Chrome, Outlook, Internet Explorer e Thunderbird.

Back To Top