Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Il ransomware Cerber e il trojan Kovter fanno squadra!
- MERCOLEDÌ 19 APRILE 2017


Nelle ultime due settimane abbiamo studiato una campagna di diffusione di malware via email di SPAM: le email si fingevano comunicazioni dello United States Postal Service (USPS) o della FedEx. Queste email diffondono in realtà non un solo malware, ma una terribile combinazione tra il ransomware Cerber e il trojan Kovter. La mail di spam contiene uno script file dannoso che collega ad un sito web compromesso dove è possibile scaricare componenti aggiuntivi. Abbiamo rintracciato circa 300 siti web compromessi usati durante questa campagna: siti web hackerati e compromessi da attaccanti ignoti.

Come funziona l'attacco?
La vittima, per prima cosa, apre l'allegato email contenente un file script. Nell'immagine sotto il file script dannoso.
  

Questo script si esegue tramite Window Wscript e si connette ad uno dei circa 300 siti web compromessi per scaricare il file "counter.js", file che viene eseguito direttamente dalla cartella %temp%. Il file counter.js esegue quindi il download di un file .doc, responsabile poi del download del payload del ransomware Cerber. Il payload viene scaricato nella cartella %temp%, dalla quale viene eseguito e comincia il processo di criptazione dei file della vittima.


La versione di Cerber in distribuzione cripta i file modificandone l'estensione con una serie di caratteri random e ricatta quindi la vittima chiedendo un riscatto per ottenere la possibilità di riavere i file in chiaro. 
  

L'attacco tuttavia non si limita alla sola criptazione dei dati: lo script file di cui abbiamo parlato poco fa procede inoltre all'installazione del malware Kovter. Kovter si nasconderà nel Windows Registry, rendendosi praticamente invisibile all'individuazione. 

Che cosa fa Kovter?
Kovter, come altri trojan, colleziona i dati degli utenti sono attacco e li invia ad un server di comando e controllo (C&C Server) controllato dagli attaccanti. Kovter viene usato anche per altre campagne fraudolente: spinge le vittime a fare click su ads fraudolenti al solo fine di guadagnare dai click.

L'individuazione da parte di Quick Heal
1. La caratteristica di Protezione Email di Quick Heal blocca con successo questi allegati dannosi (in questo caso il file script), ancora prima che siano eseguiti
2. La caratteristica di Sicurezza Web blocca i siti dannosi collegati a questi allegati.

Misure precauzionali
1. Non aprire mail un allegato che abbia doppie estensioni, come .doc.js oppure doc.vbs: generalmente contengono malware. Abilita la visualizzazione dell'estensione dei file nelle cartelle: potrai vedere le estensioni complete dei file individuando quelli pericolosi.
2. Non scaricare mail allegati e non fare mai clic su link contenuti in mail ricevute da mittendi sconosciuti, inaspettati o indesiderati.
3. Non rispondere a alert o notifiche pop-ip mentre stai visitando siti web a te non familiari.
4. Applica regolarmente tutti gli update di sicurezza del tuo sistema operativo, dei software, dei browser.
5. Installa un antivirus solido ed efficiente sul tuo pc, capace di bloccare le email di spam o quelle dannose e di restringere automaticamente l'accesso a sitti web dannosi. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 18 NOVEMBRE 2019
Quick Heal supporta il Windows 10 November Update
Microsoft ha diffuso recentemente il nuovo aggiornamento cumulativo per i pc che eseguono Windows 10, chiamato Windows 10 November Update.   Ecco alcune de...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login