Gli hacker stanno usando un falso aggiornamento di Windows 10 per installare il ransomware Cyborg

Gli utenti Windows, fate attenzione! Un’email falsa che si spaccia per proveniente da Microsoft riguardo a un aggiornamento di Windows viene utilizzata per infettare i dispositivi con ransomware.

I ricercatori della sicurezza di Trustwave’s SpiderLabs che hanno individuato la campagna email malevola hanno scoperto che le email false spingono le persone a installare un “aggiornamento critico” di Windows 10 sui loro computer.

L’oggetto dell’email dice “Installa l’ultimo aggiornamento Microsoft ora!” o “Aggiornamento critico di Microsoft Windows!” Il messaggio nell’email contiene solo una singola riga che dice: “Si prega di installare l’ultimo aggiornamento critico di Microsoft allegato a questa mail” e un file allegato.

Curiosamente, il file “aggiornamento” allegato è mascherato come un file .jpg che non è un’immagine ma in realtà un downloader eseguibile .NET. Questo a sua volta ha scaricato un secondo file eseguibile ospitato su GitHub di proprietà di Microsoft.

“Il file bitcoingenerator.exe sarà scaricato da misterbtc2020, un account GitHub che è stato attivo per pochi giorni durante la nostra indagine, ma ora è stato rimosso,” ha detto Diana Lopera di Trustwave in un post sul blog.

“È contenuto sotto il suo repository btcgenerator. Proprio come l’allegato, questo è malware compilato in .NET, il ransomware Cyborg.”

Il tipico ransomware Cyborg che richiede bitcoin cripta quindi tutti i file sulla macchina della vittima, bloccando i loro contenuti e rinominando anche tutti i file con un’estensione .777. Inoltre, una nota di riscatto intitolata “Cyborg_DECRYPT.txt” viene posizionata sul desktop della vittima chiedendo 500 dollari in bitcoin per sbloccare i file di sistema.

Quando i ricercatori hanno cercato il nome del file originale del ransomware, lo hanno ottenuto e lo hanno cercato in VirusTotal. Hanno trovato altri tre campioni e scoperto che esiste online un builder per il ransomware. Inoltre, hanno scoperto che il ransomware Cyborg è promosso attraverso un video di YouTube che collegava al builder ospitato su GitHub.

“L’account GitHub Cyborg-Ransomware è stato creato di recente. Contiene due repository: Cyborg-Builder-Ransomware e Cyborg-Russian-version,” ha scritto Lopera.

“Il primo repository ha i binari del builder del ransomware mentre il secondo contiene un link alla versione russa del builder ospitato su un altro sito web.”

Lopera ha spiegato perché il ransomware Cyborg rappresenta un reale pericolo per le aziende e gli individui dicendo: “Il ransomware Cyborg può essere creato e diffuso da chiunque ottenga il builder. Può essere inviato come spam utilizzando altri temi e essere allegato in diverse forme per eludere i gateway email. Gli attaccanti possono creare questo ransomware per utilizzare un’estensione di file di ransomware nota per fuorviare l’utente infetto dall’identità di questo ransomware.”

Sebbene l’account GitHub associato sia stato rimosso, è importante che gli utenti Windows ricordino che Microsoft non invia mai patch ai propri sistemi operativi tramite email.

Inoltre, si raccomanda agli utenti che ricevono email simili di eliminarle immediatamente. È anche consigliabile non aprire allegati o link di email provenienti da fonti sconosciute o non affidabili.