Il ransomware aumenta la credibilità leggendo i browser delle vittime

Gli autori di ransomware a tema poliziesco hanno iniziato a utilizzare le cronologie di navigazione dei computer infetti per rendere i loro raggiri più credibili, secondo un ricercatore indipendente di malware.

Ransomware è una classe di applicazioni dannose progettate per estorcere denaro agli utenti disattivando funzionalità importanti del sistema o crittografando i propri file personali. Una particolare variazione di questo tipo di minaccia mostra i messaggi mascherati da notifiche delle forze dell'ordine.

La lingua dei messaggi e i nomi delle agenzie utilizzati cambiano a seconda della posizione delle vittime, ma in quasi tutti i casi le vittime sono ha detto che i loro computer sono stati bloccati perché hanno accesso o scaricato contenuti illegali. Al fine di riottenere l'accesso ai loro computer, gli utenti sono pregati di pagare una multa.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Una nuova variante di ransomware che impiega questo trucco è stata avvistata nel fine settimana da un analista di malware indipendente noto online come Kafeine. Soprannominato Kovter, questa versione si distingue perché utilizza le informazioni raccolte dalla cronologia del browser della vittima per rendere più credibile il messaggio truffa, ha detto Kafeine venerdì in un post sul blog.

Kovter mostra un finto avvertimento presumibilmente dal Dipartimento di Giustizia degli Stati Uniti, il Dipartimento della Sicurezza Nazionale degli Stati Uniti e l'FBI, che afferma che il computer della vittima è stato utilizzato per scaricare e distribuire contenuti illegali. Il messaggio elenca anche l'indirizzo IP del computer, il suo nome host e un sito Web dal quale è stato presumibilmente scaricato il materiale illegale.

Il malware controlla se uno qualsiasi dei siti già presenti nella cronologia del browser del computer è presente in un elenco remoto di siti porno il cui contenuto non è necessariamente illegale, e se c'è una corrispondenza, lo visualizza nel messaggio. Usando questa tecnica e nominando un sito che la vittima ha effettivamente visitato come fonte per il presunto contenuto illegale, gli autori del ransomware tentano di aumentare la credibilità del loro messaggio.

Se non viene trovata alcuna corrispondenza quando si controlla la cronologia del browser contro il elenco remoto, il malware userà solo un sito porno random nel messaggio, ha detto Kafeine.

Le nuove tattiche aumentano la minaccia

Gli autori di ransomware a tema di polizia cercano costantemente di migliorare il loro tasso di successo e questo è solo il l'ultimo di una lunga serie di trucchi che hanno aggiunto. Alcune varianti utilizzano effettivamente la webcam del computer, se presente, per scattare una foto dell'utente e includerla nel messaggio per dare l'impressione che le autorità stiano registrando l'utente. Un'altra variante fornisce alle vittime una scadenza di 48 ore per pagare la multa inventata prima che il loro computer venga riformattato e i loro dati siano distrutti.

Il numero medio di tentativi di infezione giornalieri con ransomware a tema di polizia è raddoppiato durante i primi mesi di 2013, secondo Sergey Golovanov, esperto di malware nel team di ricerca e analisi globale del fornitore di antivirus Kaspersky Lab. La distribuzione di questa minaccia ha raggiunto il massimo storico a febbraio e marzo, ha detto lunedì via e-mail.

Secondo Golovanov, la cosa più importante per le vittime del ransomware è di non pagare i soldi ai criminali informatici. "Quello che devi fare è andare su un altro computer e iniziare a cercare una soluzione, che sarai sempre in grado di trovare su Internet", ha affermato. "Tutte le aziende antivirus pubblicano istruzioni e utility gratuite per aiutare gli utenti a sbloccare i loro computer."

"Nel peggiore dei casi, se si ha a che fare con un blocco unico, è sempre possibile rivolgersi ai forum specializzati delle società antivirus o contattare la tecnologia supporto per consigli e soluzioni di esperti ", ha affermato. "Certo, potrebbe volerci del tempo, ma la cosa fondamentale è non pagare e finanziare questa estorsione."