La botnet Kelihos distribuisce il ransomware Troldesh

La botnet Kelihos esiste da circa otto anni, ed è sopravvissuta ad almeno due tentativi di chiusura della stessa, nel 2011 e nel 2012.

Nel corso della sua “esistenza”, Kelihos è stata utilizzata per gli scopi più diversi: dall’invio dello spam “amoroso” alla diffusione di ransomware quali MarsJoke e Wildfire. Dal mese di agosto i cybercriminali utilizzano la botnet per distribuire malware crittografici e banker; improvvisamente, le dimensioni di Kelihos sono triplicate, in una sola notte. Essa ha iniziato a diffondere ugualmente malware quali Panda Zeus, Nymain e Kronos; ben presto, tuttavia, è tornata al “buon vecchio” ransomware.

I ricercatori stanno osservando come Kelihos distribuisca, attualmente, spam nocivo contenente l’encryptor Troldesh. La vittima viene indotta a cliccare su un link malevolo, il quale conduce a un documento Word e ad un JavaScript dannoso. È il primo caso di infezione da file JS attraverso tale botnet.

Ironicamente, il malware codifica i file aggiungendo l’estensione .no_more_ransom, che copia la denominazione della nota iniziativa volta a lottare proprio contro il ransomware. Quest’ultima ha già aiutato migliaia di utenti a decifrare i file, senza dover pagare il riscatto.

Troldesh viene diffuso verso indirizzi della zona .au; la campagna è quindi diretta, principalmente, a coloro che risiedono in Australia. I messaggi di spam che inducono con l’inganno gli utenti a scaricare il ransomware, sono mascherati in veste di notifiche della Bank of America riguardo ad un presunto debito, e invitano ad aprire il file dove dovrebbero essere descritte le azioni da compiere per “risolvere la situazione”.

Una volta che l’utente ha scaricato il ransomware, quest’ultimo cifra i file, e fa poi apparire una notifica in cui si richiede di pagare il riscatto (in russo e in inglese). Per comunicare con i malintenzionati, viene utilizzato un indirizzo di posta Gmail. Le istruzioni indicano ugualmente come scaricare il browser Tor e recarsi sui siti .onion.

Troldesh è inoltre in grado di effettuare il download di ulteriore malware sul computer infetto — ad esempio Pony, utilizzato per il furto delle informazioni.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *