Filecoder, il nuovo ransomware che si finge Google Chrome
Tra le previsioni che erano state fatte in termini di sicurezza che avrebbero caratterizzato il web nel 2016 c'era proprio l'aumento del fenomeno dei ransomware. E quella previsione in effetti trova conferma proprio in questi giorni. Un nuovo ransomware sta minacciando gli utenti a livello globale e al livello italiano. Si chiama Filecoder, precisamente Win32/Filecoder.NFR, e finge di essere il file che installa il browser per internet Google Chrome. I ransomware sono malware che criptano i dati sui dispositivi e poi chiedono un riscatto per sbloccarli.
Ad individuare questo nuovo ransomware sono stati ricercatori di Eset i quali hanno rilevato che nella prima settimana di gennaio gli utenti italiani sono stati proprio i più colpiti a livello mondiale dalle diverse varianti del ransomware Filecoder, registrando un aumento del 6,35% delle infezioni. Il software, dunque, finge di essere il file necessario a eseguire il browser Chrome di Google, ed è questo elemento a trarre facilmente in inganno gli utenti.
Il malware funziona come un "ransomware as a Service" (RaaS) collegato a un server nascosto nella rete TOR (The Onion Router). Da lì, i criminali informatici possono scegliere cosa il malware infetterà nel sistema della vittima, quanti bitcoin chiedere come riscatto e quale messaggio intimidatorio mostrare sullo schermo. I criminali informatici possono inoltre controllare le statistiche sulla quantità di utenti infettati e il numero di vittime che ha effettivamente pagato il riscatto.
Cosa accade una volta aperto Filecoder
Una volta che Win32/Filecoder.NFR si installa sul sistema e viene eseguito, decomprime tutti i suoi file pericolosi nella cartella dei file temporanei e si configura per essere eseguito a ogni avvio del sistema. Il file dannoso, chrome.exe, si presenta proprio come il file originale del popolare browser web Chrome. Basterebbe analizzare le sue proprietà per rendersi conto che non si tratta dell'originale, non essendo firmato digitalmente. Inoltre, le informazioni sulla versione e sul nome del prodotto sono cancellate. Le estensioni dei file che il ransomware può crittografare sono oltre un centinaio e tra queste sono presenti le più comuni come j6 .txt, .doc, .jpg, .gif, .AVI, .MOV, e MP4.
Altro dettaglio che evidenziano i ricercatori di Eset questo file ha una dimensione di circa 45 megabyte, notevolmente più grande rispetto alle dimensioni solite dei ransomware. Questo probabilmente poiché Filecoder.NFR cerca di ingannare l'utente fingendo le stesse dimensioni del file originale.
Filecoder per diffondersi sfrutta i classici metodi usati dai cybercriminali per infettare le macchine delle vittime, come siti web pericolosi, attacchi Drive-by-download, allegati alle e-mail e l'uso di altri Trojan-Downloader o di backdoor. I file vengono criptati usando una codifica AES con chiave a 128 bit, generando una nuova chiave per ogni documento codificato.
