IMMEDIA / IL RANSOMWARE MOBILE KOLER 'POLICE' ORA PRENDE DI MIRA ANCHE I PC OLTRE CHE I DISPOSITIVI ANDROID, CON UN KIT DI EXPLOIT =
(Roma, 28 luglio 2014) - Il ransomware mostra messaggi
personalizzati alle vittime in 30 paesi
Kaspersky Lab ha rilevato un componente nascosto della campagna
malware che ad aprile di quest'anno ha introdotto Koler "police", il
ransomware mobile per i dispositivi Android. Questo componente include
un ransomware basato su browser e un kit di exploit. Dal 23 luglio la
componente mobile della campagna è stata interrotta perchè il server
di comando e controllo ha iniziato ad inviare comandi di 'Unistall'
alle vittime eliminando l'applicazione malware. Per quel che riguarda
invece i componenti dannosi installati sui computer - incluso il kit
di exploit - questi sono ancora attivi. Kaspersky Lab sta tenendo
sotto controllo il malware, descritto per la prima volta da parte di
un ricercatore di sicurezza di nome Kaffeine.
I cybercriminali responsabili di questi attacchi hanno
utilizzato uno schema insolito per scansionare i sistemi delle vittime
e inviare ransomware personalizzati a seconda del paese e del tipo di
dispositivo utilizzato dall'utente - mobile o PC. I criminali hanno
creato un'infrastruttura di reindirizzamento, che si attivava dopo che
le vittime avevano visitato uno dei 48 siti pornografici nocivi
utilizzati dagli operatori di Koler. L'uso di una rete di siti
pornografici per diffondere questo ransomware non è stato un semplice
caso: le vittime sentendosi in colpa per aver visionato questi
contenuti sono in genere più propense a pagare la presunta multa
inviata dalle ''autorità''.
Questi siti pornografici reindirizzano gli utenti all'hub
centrale che utilizza il Keitaro Traffic Distribution System (TDS) che
a sua volta esegue un successivo reindirizzamento. A seconda di alcune
condizioni, questo secondo redirezionamento può portare a tre
differenti scenari dannosi:
- Installazione del ransomware mobile Koler. Nel caso in cui il
sito venga visitato tramite un dispositivo mobile, il sito reindirizza
automaticamente l'utente all'applicazione dannosa. Una volta
reindirizzato, l'utente deve comunque confermare il download e
l'installazione dell'applicazione chiamata animalporn.apk che è in
realtà il Koler ransomware. Questo malware blocca lo schermo del
dispositivo infetto e per sbloccarlo chiede un riscatto che va dai
$100 ai $300. Per rendere il tutto più realistico il malware
visualizza all'utente un messaggio che riproduce quelli ufficiali
della polizia locale.
- Reindirizzamento verso uno qualsiasi dei siti web dove è
presente il componente ransomware basato su browser. Un controller
speciale verifica (i) che l'utente provenga da uno dei 30 paesi
colpiti, (ii) che non sia un utente Android e (iii) che la richiesta
non contenga utenti di Internet Explorer. Se il risultato delle tre
verifiche è sempre positivo viene visualizzata una schermata di blocco
identica a quella utilizzata per i dispositivi mobile. In questo caso
non c'è infezione, solo un pop-up che mostra un modello della
schermata di blocco. Tuttavia, l'utente può facilmente evitare il
blocco con una semplice combinazione di tasti alt+F4.
- Reindirizzamento verso un sito web che contiene l'Angler
Exploit Kit. Se l'utente utilizza Internet Explorer, l'infrastruttura
di reindirizzamento utilizzata in questa campagna invia l'utente verso
siti che ospitano l'Angler Exploit Kit, che dispone di exploit per
Silverlight, Adobe Flash e Java. Durante l'analisi di Kaspersky Lab,
nonostante il codice di exploit fosse operativo non veniva eseguito
alcun download del payload, ma questo potrebbe cambiare prossimamente.
Commentando le recenti scoperte su Koler, Vicente Diaz,
Principal Security Researcher di Kaspersky Lab, ha dichiarato: "Ciò
che suscita maggiore interesse è la rete di distribuzione utilizzata
nella campagna. Decine di siti web generati automaticamente
reindirizzano il traffico verso un hub centrale utilizzando un sistema
di distribuzione del traffico che reindirizza nuovamente gli utenti.
Crediamo che questa infrastruttura dimostri quanto questa campagna sia
ben organizzata e pericolosa. I criminali possono creare rapidamente
infrastrutture simili grazie al fatto che tutto sia completamente
automatizzato, cambiando il payload o prendendo di mira tipologie di
utenti diversi. I criminali hanno inoltre ideato modi diversi di
generare del reddito dalle loro campagne in uno scenario realmente
multi-device."
Dati payload mobile
Dall'inizio della campagna sono quasi 200.000 i visitatori del
dominio infetto con il malware per mobile e tra questi la maggior
parte provengono dagli Stati Uniti (80%-146.650), seguiti da Regno
Unito (13.692), Australia (6223), Canada (5573), Arabia Saudita
(1.975) e Germania (1.278).
Kaspersky Lab ha condiviso i suoi risultati sia con l'Europol
che con l'Interpol e sta attualmente collaborando con le forze
dell'ordine per riuscire ad bloccare l'infrastruttura.
Come proteggersi da questo attacco:
- Ricordarsi che non arriveranno mai messaggi ufficiali di
"riscatto" da parte della polizia, per cui non è necessario pagare
nulla;
- Non installare nessun tipo di applicazione durante la
navigazione;
- Non visitare siti Web non affidabili;
- Utilizzare una soluzione antivirus affidabile.
Kaspersky Lab rileva questo ransomware come
Trojan.AndroidOS.Koler.a.
E' possibile consultare il report completo su securelist.com
Cyberthreat real-time map
Informazioni su Kaspersky Lab Kaspersky Lab è la più grande
azienda privata del mondo che produce e commercializza soluzioni di
sicurezza per gli endpoint. L'azienda si posiziona tra i primi quattro
vendor al mondo in questo mercato*. Nel corso dei suoi 16 anni di
storia, Kaspersky Lab è stata un pioniere nella sicurezza IT, offrendo
al mercato soluzioni di sicurezza IT per la protezione di utenti
finali, Piccole e Medie Imprese e grandi aziende. Kaspersky Lab, la
cui holding è registrata in Gran Bretagna, opera in 200 paesi e
protegge oltre 300 milioni di clienti in tutto il mondo. Per ulteriori
informazioni: www.kaspersky.com/it.* L'azienda si è posizionata al
quarto posto nel, 2012 di IDC. La classifica è stata pubblicata nel
report IDC Worldwide Endpoint Security 2013-2017 Forecast and 2012
Vendor Shares (IDC #242618, August 2013). Il report ha classificato i
vendor software in base al fatturato da soluzioni di sicurezza
endpoint Worldwide Endpoint Security Revenue by Vendor nel 2012.
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
Twitter: https://twitter.com/KasperskyLabIT
Facebook: http://www.facebook.com/kasperskylabitalia
Google Plus:
https://plus.google.com/u/0/b/110369116315123340458/110369116315123340458/posts
"Immediapress e' un servizio di diffusione di comunicati stampa
in testo originale redatto direttamente dall'ente che lo emette.
L'Adnkronos ed Immediapress non sono responsabili per i contenuti dei
comunicati trasmessi".
(Immedia/Opr/Adnkronos)
29-LUG-14 14:29
NNNN
Nessun commento:
Posta un commento