SicurezzaVirus

C’è una nuova epidemia di ransomware TeslaCrypt in corso

Giornalista e collaboratore di TechWeekEurope, si occupa professionalmente di IT e nuove tecnologie da oltre vent'anni e ha collaborato con le principali testate italiane di settore

Follow on: Linkedin

Diversi siti americani – ma non solo – stanno veicolando il ransomware TeslaCrypt attraverso banner pubblicitari contraffatti, grazie all’exploit Angler

Per ora riguarda soprattutto siti statunitensi, ma non solo quelli ed è meglio tenerne comunque conto: c’è una nuova epidemia di ransomware TeslaCrypt che viene veicolata da siti anche di tutto rispetto (New York Times, Newsweek, MSN, BBC…) che sono stati coinvolti loro malgrado attraverso un meccanismo di malvertising. I network pubblicitari coinvolti sono stati quelli di Google, AOL, AppNexus e Rubicon Project.

L’attacco si basa su una nuova versione del noto exploit Angler, che sfrutta alcune vulnerabilità in Adobe Flash e Microsoft Silverlight: il browser chi visualizza i banner pubblicitari “trappola” viene rediretto verso altri siti, uno dei quali usa l’exploit per installare ransomware. Secondo quanto racconta Trend Micro l’attacco ha colpito decine di migliaia di utenti americani nel giro di 24 ore. I siti più importanti hanno rilevato di essere veicolo di attacco e hanno bloccato i banner malevoli, ma in generale la loro distribuzione è ancora attiva.

La schermata ricattatoria di Cryptolocker
La schermata ricattatoria di Cryptolocker, un ransomware simile a TeslaCrypt

Secondo quanto racconta invece Trustwave, chi ha organizzato l’attacco ha acquisito un dominio web che sino a poco tempo fa apparteneva a BrentsMedia, “una piccola ma probabilmente legittima azienda di pubblicità. Questo ha fornito ad Angler traffico di alta qualità da siti web popolari che hanno pubblicato i suoi annunci direttamente o come affiliati di altri network pubblicitari”.

I banner pubblicitari truccati contengono secondo Trustwave qualcosa come 12 mila linee di codice JavaScript che cercano tra l’altro di rilevare la presenza su PC bersaglio di alcuni prodotti di sicurezza. Se non li trova va avanti con l’infezione, portando il browser bersaglio a una pagina che usa Angler per scaricare sul PC il trojan Bedep e il ransomware TeslaCrypt.