skip to Main Content

Cybercrime, nuova campagna phishing per distribuire Dharma in Italia

Cybercrime, Nuova Campagna Phishing Per Distribuire Dharma In Italia

JAMESWT, TG Soft e reecDeep scoprono una nuova campagna phishing del cybercrime per distribuire Dharma in Italia. Il malware, un ransomware in costante evoluzione, viene veicolato attraverso la mail e una pagina OneDrive

Nuova campagna phishing del cybercrime in Italia per distribuire Dharma (alias CrySIS). L’hanno scoperta i ricercatori di cyber security JAMESWT, TG Soft e reecDeep, come riporta il CERT-PA. Il malware viene diffuso tramite email con oggetto “Fattura n. 637 del 14.01.20“. All’interno è presente un link che dirige la potenziale vittima a una pagina OneDrive. Obiettivo: far sì che scarichi un documento zip chiamato “Nuovo documento 2.zip”. Questo contiene due file: uno script VBS  ‘Nuovo documento 2.vbs‘ e un file informato jpg denominato “‘yuy7z”. Se inavvertitamente fosse eseguito il primo, verrebbero installati diversi payload del ransomware. Il codice malevolo, inoltre, secondo i ricercatori aggiunge l’estensione .ROGER ai file cifrati e nella nota di riscatto invita l’utente a contattare l’indirizzo sjen6293@gmail.com per ricevere informazioni sul pagamento. Peraltro, il malware, nonostante sia apparso per la prima volta già nel 2016, è ancora attivo e in costante evoluzione.

Gli esperti di cyber security: Il testo del messaggio è scritto in italiano corretto, ma c’è un errore che dovrebbe destare sospetti nelle potenziali vittime. Segno che è stato usato un traduttore automatico. Dietro all’attacco cibernetico potrebbero esserci gruppi russi

Gli esperti di cyber security sottolineano che il testo della mail del cybercrime è scritto in un italiano corretto. Però, c’è un errore di grammatica che dovrebbe far destare sospetti alla potenziale vittima. Il link alla fattura è stato nominato “Decreto”. Ciò, in quanto chi distribuisce Dharma probabilmente voleva indicare un “Atto”. Di conseguenza, con buona certezza, il documento in italiano è stato compilato con una traduttore automatico. Il suo impiego, infatti, è solitamente usato negli attacchi phishing di massa da criminali cibernetici di più paesi, in cui l’autore cerca di veicolare un malware su vasta scala e colpire una platea più ampia possibile, non curandosi della perfetta rispondenza del testo del messaggio nella lingua dei bersagli. Nel caso di questo ransomware, invece, gli esperti ritengono che la campagna possa essere arrivata dalla Russia.

Back To Top