Finge di essere il file necessario a eseguire il browser Chrome di Google ma non lo è.
E’ un “ransomware”, quello che sta prendendo di mira gli internauti italiani vestendosi da Google Chrome. La nuova minaccia, si chiama Win32/Filecoder.NFR, e si sta diffondendo in maniera subdola. Il codice dannoso, che prende in «ostaggio» i file sui computer degli utenti, è stato individuato dalla società Eset. Secondo i ricercatori di Eset nella prima settimana di gennaio gli internauti italiani sono stati i più colpiti a livello mondiale dalle diverse varianti del ransomware Filecoder, con il 6,35% delle infezioni.
Intanto il vero Google Chrome è nelle ultime ore al centro di un problema: a causa di una sorta di «bug» (contenuto nelle schede grafiche Nvidia e del sistema operativo OS X di Apple) la navigazione online in incognito non funziona come dovrebbe e riapre l’ultima pagina visitata, un sito porno nel caso dello studente canadese che ha portato alla ribalta la questione.
Come funziona Win32/Filecoder.NFR. Funziona come un ‘ransomware as a Service’ (RaaS) collegato a un server nascosto nella rete Tor (acronimo di The Onion Router, necessario per navigare nel Deep Web caro agli hacker di tutto il mondo). Da lì, i criminali informatici possono scegliere cosa il malware infetterà nel sistema della vittima, quanti bitcoin chiedere come riscatto e quale messaggio intimidatorio mostrare sullo schermo. I criminali informatici possono inoltre controllare le statistiche sulla quantità di utenti infettati e il numero di vittime che ha effettivamente pagato il riscatto.
I dati. Secondo i dati di Live Grid, la tecnologia Cloud di Eset che identifica le minacce informatiche globali per numero di rilevazioni, i ransomware della famiglia Filecoder rappresentano una seria minaccia per gli internauti italiani, che nella prima settimana di gennaio sono stati i più colpiti a livello mondiale, con un picco di infezioni registrate del 6,35%. Una volta che Win32/Filecoder.NFR si installa sul sistema e viene eseguito, decomprime tutti i suoi file pericolosi nella cartella dei file temporanei e si configura per essere eseguito a ogni avvio del sistema. Il file dannoso, chrome.exe, si presenta proprio come il file originale del popolare browser web Chrome.
Come fare? Tuttavia, analizzando le sue proprietà sarà facile notare che non è firmato digitalmente, e che le informazioni sulla versione e sul nome del prodotto sono state cancellate. Per diffondersi questa nuova minaccia sfrutta i classici metodi usati dai cybercriminali per infettare le macchine delle vittime, come siti web pericolosi, attacchi Drive-by-download, allegati alle email e l’uso di altri Trojan-Downloader o di backdoor. I file vengono criptati usando una codifica AES con chiave a 128 bit, generando una nuova chiave per ogni documento codificato.
