SicurezzaVirus

TorrentLocker: attacchi mirati verso gli utenti italiani

Silicon è il sito di tecnologia dedicato alle strategie delle aziende IT che cavalcano i nuovi trend di mercato, dal cloud computing alla virtualizzazione, dal mobile al byod. Analisi, approfondimenti, prove di app e prodotti, oltre alle notizie quotidiane, fanno di Silicon l’appuntamento giornaliero per i manager che vogliono capire come la tecnologia possa aiutarli nel fare business. Su queste tematiche Silicon realizza interviste agli attori del mercato e reportage dai principali eventi, sia in Italia sia all’estero.

Forcepoint segnala una campagna di phishing per diffondere TorrentLocker attraverso spam destinato agli utenti Enel

Forcepointl’ex Raytheon/Websense – ha rilevato un attacco per la diffusione mirata via email del malware TorrentLocker che interessa in particolare gli utenti di Internet italiani e svedesi. Si tratta di una campagna di phishing destinata per l’Italia agli utenti, o presunti tali, di Enel e per gli utenti svedesi al corriere PostNord. La mail cerca di portare i destinatari a cliccare su un link per visitare il sito Enel o PostNord, ma in effetti fa puntare il browser verso un sito completamente diverso.

Contrariamente ad altri attacchi legati a TorrentLocker, fa notare Forcepoint, i siti che distribuiscono malware non sono stati creati ad hoc da poco tempo ma sono siti già esistenti che sono stati compromessi e modificati in modo da replicare l’aspetto dei siti leciti di Enel e PostNord. Sui siti-civetta il visitatore viene guidato a scaricare un documento che è in realtà un file compresso che contiene il malware. Una volta scaricato il file si decomprime e l’infezione si completa.

Una schermata di Cryptolocker, "parente" stretto di TorrentLocker
Una schermata di Cryptolocker, “parente” stretto di TorrentLocker

TorrentLocker è un crypto-ransomware: una volta attivato cifra il contenuto del computer infettato e chiede al suo proprietario un vero e proprio riscatto per ricevere la chiave di decifratura del disco. La somma da pagare è in Bitcoin ed equivale a circa 400 euro, ma può variare da caso a caso.

Come molti altri attacchi via phishing anche questo non è particolarmente insidioso in quanto richiede che l’utente-bersaglio faccia diverse cose per essere infettato: aprire la mail di spam, cliccare sul suo link e attivare lo scaricamento del file contenente il malware. Ciononostante l’attacco non va nemmeno sottovalutato perché un computer compromesso in una rete potrebbe in teoria diffondere il malware su altri, e comunque perché è praticamente impossibile recuperare i file cifrati dal ransomware senza la giusta chiave di decifratura. Nella maggior parte dei casi, infatti, gli utenti preferiscono pagare il riscatto piuttosto che segnalare l’attacco alle autorità.