Torrentlocker il malware che aveva attaccato e bloccato i computer di mezzo mondo è tornato a diffondersi in Europa sfruttando account Dropbox
TorrentLocker, dopo un periodo di silenzio, è tornato a mietere vittime. I laboratori Trend Micro hanno infatti scoperto nuove varianti che utilizzano account Dropbox compromessi come metodo di infezione. Questo è un nuovo metodo di attacco ed è in linea con quello che Trend Micro aveva pronosticato nelle previsioni per il 2017.
TorrentLocker, malware della categoria ransomware che blocca il computer della vittima chiedendo un riscatto (solitamente in bitcoin) per sbloccarlo, è stato rilevato per la prima volta nel febbraio 2014 e, nei mesi a seguire, ha attaccato computer di enti, aziende e privati in Italia, Regno Unito, Irlanda, Francia, Germania, Olanda, Spagna, Austria, Repubblica Ceca, Turchia, Australia, Nuova Zelanda.
Il periodo di silenzio di questo ransomware è servito ai cybercriminali per escogitare nuove strategie. L’attacco TorrentLocker inizia ad esempio con una fattura via e-mail da parte di un fornitore. La fattura però non si trova in allegato, ma è accessibile attraverso un link Dropbox che contiene riferimenti e numeri di conto per farla sembrare autentica. TorrentLocker, utilizzando Dropbox come un link URL, può aggirare i sensori gateway nel momento in cui non è presente un allegato e il link è di un sito legittimo.
Quando l’utente clicca il link, scarica sul computer un file JavaScript (JS_NEMUCOD) mascherato da fattura e quando apre questa finta fattura un altro JavaScript viene scaricato ed esegue TorrentLocker. Una caratteristica rilevante delle nuove varianti di TorrentLocker è che sono pacchettizzate come sistema di installazione NSIS per evitare di essere rilevate, tecnica utilizzata da altri ransomware importanti come CERBER, LOCKY, SAGE e SPORA.
Nel periodo compreso tra il 26 febbraio e il 6 marzo la Smart Protection Network Trend Micro ha rilevato 54.688 e-mail spam che contenevano URLs diretti a 815 diversi account Dropbox. Il grosso dell’attacco sta colpendo l’Europa, concentrandosi nei giorni lavorativi tra le ore 09:00 – 10:00, momento in cui vengono controllate le e-mail per la prima volta nella giornata. Molte aziende utilizzano Dropbox per il trasferimento dei file e questo può far cadere i dipendenti in trappola.
