skip to Main Content

Il cybercrime diffonde il ransomware Nemty grazie a una pagina Paypal falsa

Il Cybercrime Diffonde Il Ransomware Nemty Grazie A Una Pagina Paypal Falsa

L’esperto di cyber security Nao_sec ha scoperto che il cybercrime sta diffondendo il ransomware Nemty tramite una pagina Paypal falsa

Una falsa pagina Paypal sta diffondendo una nuova variante del ransomware Nemty. Lo ha scoperto l’esperto di cyber security nao_sec. Il cybercrime, peraltro, per rafforzare l’esca, ha anche promesso di restituire il 3-5% del valore degli acquisti effettuati attraverso il sistema di pagamento. Secondo Bleeping Computer, a una prima occhiata, la falsa pagina web sembra genuina poiché i criminali cibernetici hanno usato la grafica e la struttura presente su quella originale. Per complicare la frode, è stato adottato anche lo spoofing dell’“homograph domain name” per i collegamenti a varie sezioni del sito (Guida e contatti, Commissioni, Sicurezza, App e Negozio). I truffatori hanno raggiunto questo obiettivo utilizzando nel nome di dominio caratteri Unicode di diversi alfabeti. Per distinguerli, i browser li traducono automaticamente in Punycode. In questo caso, ciò che sembra paypal.com si traduce in ‘xn--ayal-f6dc.com’.

Il malware non influisce sui computer in Russia, Bielorussia, Kazakistan, Tagikistan o Ucraina. Altrimenti, tutti sono obiettivi

Non c’è conferma, ma probabilmente la nuova variante di Nemty è stata sviluppata da cyber criminali russi. Questo perché, secondo l’esperto di sicurezza informatica Vitali Kremez, il malware controlla se il computer infetto si trova in Russia, Bielorussia, Kazakistan, Tagikistan o Ucraina. In tal caso, il ransomware non avvia la crittografia dei file. Altrimenti lo fa. Il riscatto per sbloccare i dati è 0,09981 Bitcoin e il portale di pagamento è ospitato nella rete Tor. Prima della falsa pagina di Paypal, peraltro, il cybercrime distribuiva Nemty su altri canali. Alla fine di agosto il ricercatore Mol69 ha visto il ransomware diffuso tramite RIG EK. Fortunatamente in quest’ultimo caso diversi indizi indicano la natura fraudolenta della pagina, contrassegnata come pericolosa dai principali browser. Il pericolo, comunque, permane perciò è bene fare molta attenzione quando si naviga o si ricevono email, anche da mittenti noti e certificati.

Back To Top