Il CSIRT (Computer Security Incident Response Team) ha segnalato che è in corso in questi giorni una campagna di spam indirizzato alle PEC di utenti privati e di alcune strutture della pubblica amministrazione.
L’attacco è attualmente veicolato mediante una mail con oggetto “Tribunale di Napoli notificazione ai sensi del D.L 179” invitando il destinatario a prendere visione degli atti collegati ad un inesistente procedimento civile nel quale sarebbe coinvolto, utilizzando inoltre nominativi di soggetti realmente impiegati presso il tribunale di Napoli ed elevando così la capacità di persuasione.
Una volta cliccato il link che dovrebbe portare agli atti notificati questo porta, attraverso una serie di domini compromessi, ad un file Zip archiviato su Dropbox denominato “MicrosoftWord_e880c7b8fb4b7601ce0583ec5d896d5e.zip” in grado di attivare il download dello script del ramsonware FTCode.
La versione attualmente utilizzata implementa le seguenti funzionalità dannose oltre alla criptazione di tutti i file contenuti nel proprio dispositivo (alla quale, attualmente, non è stata trovata alcuna soluzione che non corrisponda al pagamento del riscatto richiesto)
- Una in grado di sottrarre le credenziali di posta elettronica da Thunderbird, Outlook, Chrome, Explorer o Firefox.
- Una seconda in grado di pianificare e avviare un secondo script dannoso.
- Recupero di informazioni riguardanti i domini windows sui quali la macchina è registrata, quali utenti e informazioni sui domain controller;
- Capacità di autoreplicare l’infezione, inviando lo script dannoso all’elenco degli indirizzi email con relative credenziali che viene recuperato dal server di comando e controllo.
