Il ransomware mostra messaggi personalizzati alle vittime in 30 paesi
Kaspersky Lab ha rilevato un componente nascosto della campagna malware che ad aprile di quest’anno ha introdotto Koler "police", il ransomware mobile per i dispositivi Android. Questo componente include un ransomware basato su browser e un kit di exploit. Dal 23 luglio la componente mobile della campagna è stata interrotta perchè il server di comando e controllo ha iniziato ad inviare comandi di 'Unistall' alle vittime eliminando l'applicazione malware. Per quel che riguarda invece i componenti dannosi installati sui computer - incluso il kit di exploit - questi sono ancora attivi. Kaspersky Lab sta tenendo sotto controllo il malware, descritto per la prima volta da parte di un ricercatore di sicurezza di nome Kaffeine.
I cybercriminali responsabili di questi attacchi hanno utilizzato uno schema insolito per scansionare i sistemi delle vittime e inviare ransomware personalizzati a seconda del paese e del tipo di dispositivo utilizzato dall’utente - mobile o PC. I criminali hanno creato un'infrastruttura di reindirizzamento, che si attivava dopo che le vittime avevano visitato uno dei 48 siti pornografici nocivi utilizzati dagli operatori di Koler. L'uso di una rete di siti pornografici per diffondere questo ransomware non è stato un semplice caso: le vittime sentendosi in colpa per aver visionato questi contenuti sono in genere più propense a pagare la presunta multa inviata dalle “autorità”.
Questi siti pornografici reindirizzano gli utenti all’hub centrale che utilizza il Keitaro Traffic Distribution System (TDS) che a sua volta esegue un successivo reindirizzamento. A seconda di alcune condizioni, questo secondo redirezionamento può portare a tre differenti scenari dannosi:
- Installazione del ransomware mobile Koler. Nel caso in cui il sito venga visitato tramite un dispositivo mobile, il sito reindirizza automaticamente l'utente all’applicazione dannosa. Una volta reindirizzato, l’utente deve comunque confermare il download e l'installazione dell’applicazione chiamata animalporn.apk che è in realtà il Koler ransomware. Questo malware blocca lo schermo del dispositivo infetto e per sbloccarlo chiede un riscatto che va dai $100 ai $300. Per rendere il tutto più realistico il malware visualizza all’utente un messaggio che riproduce quelli ufficiali della polizia locale.
- Reindirizzamento verso uno qualsiasi dei siti web dove è presente il componente ransomware basato su browser. Un controller speciale verifica (i) che l'utente provenga da uno dei 30 paesi colpiti, (ii) che non sia un utente Android e (iii) che la richiesta non contenga utenti di Internet Explorer. Se il risultato delle tre verifiche è sempre positivo viene visualizzata una schermata di blocco identica a quella utilizzata per i dispositivi mobile. In questo caso non c'è infezione, solo un pop-up che mostra un modello della schermata di blocco. Tuttavia, l'utente può facilmente evitare il blocco con una semplice combinazione di tasti alt+F4.
- Reindirizzamento verso un sito web che contiene l’Angler Exploit Kit. Se l'utente utilizza Internet Explorer, l'infrastruttura di reindirizzamento utilizzata in questa campagna invia l'utente verso siti che ospitano l’Angler Exploit Kit, che dispone di exploit per Silverlight, Adobe Flash e Java. Durante l'analisi di Kaspersky Lab, nonostante il codice di exploit fosse operativo non veniva eseguito alcun download del payload, ma questo potrebbe cambiare prossimamente.
Commentando le recenti scoperte su Koler, Vicente Diaz, Principal Security Researcher di Kaspersky Lab, ha dichiarato: "Ciò che suscita maggiore interesse è la rete di distribuzione utilizzata nella campagna. Decine di siti web generati automaticamente reindirizzano il traffico verso un hub centrale utilizzando un sistema di distribuzione del traffico che reindirizza nuovamente gli utenti. Crediamo che questa infrastruttura dimostri quanto questa campagna sia ben organizzata e pericolosa. I criminali possono creare rapidamente infrastrutture simili grazie al fatto che tutto sia completamente automatizzato, cambiando il payload o prendendo di mira tipologie di utenti diversi. I criminali hanno inoltre ideato modi diversi di generare del reddito dalle loro campagne in uno scenario realmente multi-device."
Dati payload mobile
Dall’inizio della campagna sono quasi 200.000 i visitatori del dominio infetto con il malware per mobile e tra questi la maggior parte provengono dagli Stati Uniti (80%-146.650), seguiti da Regno Unito (13.692), Australia (6223), Canada (5573), Arabia Saudita (1.975) e Germania (1.278).
Kaspersky Lab ha condiviso i suoi risultati sia con l’Europol che con l’Interpol e sta attualmente collaborando con le forze dell'ordine per riuscire ad bloccare l'infrastruttura.
Come proteggersi da questo attacco:
- Ricordarsi che non arriveranno mai messaggi ufficiali di "riscatto" da parte della polizia, per cui non è necessario pagare nulla;
- Non installare nessun tipo di applicazione durante la navigazione;
- Non visitare siti Web non affidabili;
- Utilizzare una soluzione antivirus affidabile.
Kaspersky Lab rileva questo ransomware come Trojan.AndroidOS.Koler.a.
E’ possibile consultare il report completo su securelist.com
Informazioni su Kaspersky Lab
Kaspersky Lab è la più grande azienda privata del mondo che produce e commercializza soluzioni di sicurezza per gli endpoint. L’azienda si posiziona tra i primi quattro vendor al mondo in questo mercato*. Nel corso dei suoi 16 anni di storia, Kaspersky Lab è stata un pioniere nella sicurezza IT, offrendo al mercato soluzioni di sicurezza IT per la protezione di utenti finali, Piccole e Medie Imprese e grandi aziende. Kaspersky Lab, la cui holding è registrata in Gran Bretagna, opera in 200 paesi e protegge oltre 300 milioni di clienti in tutto il mondo. Per ulteriori informazioni: www.kaspersky.com/it.
* L’azienda si è posizionata al quarto posto nel, 2012 di IDC. La classifica è stata pubblicata nel report IDC Worldwide Endpoint Security 2013-2017 Forecast and 2012 Vendor Shares (IDC #242618, August 2013). Il report ha classificato i vendor software in base al fatturato da soluzioni di sicurezza endpoint Worldwide Endpoint Security Revenue by Vendor nel 2012.
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
Twitter: https://twitter.com/KasperskyLabIT
Facebook: http://www.facebook.com/kasperskylabitalia
Google Plus: https://plus.google.com/u/0/b/110369116315123340458/110369116315123340458/posts
