Le aziende prese di mira da un ransomware mascherato da curriculum vitae

Ransomware Malware Hermes Aziende Curriculum Malspam Cybercrime Cybersecurity Infosec

In corso campagna di malspam per la diffusione di una variante del ransomware Hermes, mascherato da curriculum. I bersagli sono soprattutto le aziende

C’è in circolazione un ransomware, mascherato da curriculum, che prende di mira le aziende. Eì stato scoperto da un ricercatore di cyber security indipendente, che ha rilevato una campagna di email malevole, con allegati documenti Microsoft Word infetti. Questi, se aperti, scaricano sul computer della vittima il ransomware Hermes. I criminali informatici che stanno diffondendo la campagna di malspam giocano sui numeri piuttosto che sulla complessità del malware per guadagnare denaro tramite il riscatto. Che ovviamente deve essere pagato in criptovaluta. Infatti, il ransomware non è particolarmente sofisticato. Tanto che la capacità della sua individuazione da parte dei più diffusi antivirus risulta piuttosto elevata, mentre il file Word malevolo con funzione di downloader viene riconosciuto al momento solo da cinque. ll malware è, peraltro, già stato utilizzato dal cybercrime all’inizio del 2018 in attacchi mirati ad obiettivi Sudcoreani, mediante l’exploit di una vulnerabilità zero-day di Adobe Flash.

Come funziona la cyber campagna per diffondere il malware

La campagna di malspam contro le aziende funziona è semplice. Come riporta il sito Internet Storm Center, le Email malevole provengono da indirizzi facenti capo al dominio anjanabro.com e contengono come allegato un documento Word protetto da password. Il testo del messaggio sembra provenire da un soggetto in cerca di lavoro e l’allegato dovrebbe contenere il suo curriculum. Una volta scaricato e aperto il file, viene richiesta una password per sbloccarlo. Questa, molto banale (“321”), è inclusa nel testo dell’Email. Successivamente al suo inserimento si invita ad attivare le macro. Se accade, il codice malevolo all’interno del documento si connette a un server remoto e scarica sul computer della vittima un eseguibile malevolo chiamato “green.exe”, una variante del ransomware Hermes, probabilmente la versione 2.1.

Photo Credits: Internet Storm Center

Il post integrale sulla nuova minaccia cibernetica alle aziende