Il ransomware TorrentLocker, dopo un periodo di silenzio, è tornato ed ha tendenzialmente cambiato tattica. I laboratori Trend Micro, difatti hanno scoperto nuove varianti che utilizzano account Dropbox compromessi come metodo di infezione. Questo periodo trascorso in silenzio sarà sicuramente servito ai cybercriminali per escogitare nuove strategie. L’ultima trovata di TorrentLocker è quella dell’invio di una fattura via e-mail da parte di un fornitore, non presente in allegato ma “accessibile” attraverso un link Dropbox che contiene riferimenti e numeri di conto per farla sembrare autentica. Il Ramsomware utilizzando Dropbox come un link URL, aggira così i sensori gateway nel momento in cui non è presente un allegato e offre un link di un sito legittimo. Quando l’utente clicca il link, scarica sul computer un file JavaScript (JS_NEMUCOD) mascherato da fattura, che una volta aperto scarica un secondo JavaScript che esegue il TorrentLocker.
Una caratteristica rilevante delle nuove varianti di TorrentLocker è che sono pacchettizzate come sistema di installazione NSIS per evitare di essere rilevate, tecnica utilizzata da altri ransomware importanti come CERBER, LOCKY, SAGE e SPORA.
Nel periodo compreso tra il 26 febbraio e il 6 marzo la Smart Protection Network Trend Micro ha rilevato 54.688 e-mail spam che contenevano URLs diretti a 815 diversi account Dropbox. Il grosso dell’attacco sta colpendo l’Europa, concentrandosi nei giorni lavorativi tra le ore 09:00 – 10:00, momento in cui vengono controllate le e-mail per la prima volta nella giornata. Molte aziende utilizzano Dropbox per il trasferimento dei file e questo può far cadere i dipendenti in trappola.
Trend Micro sta collaborando con Dropbox per risolvere questa criticità, maggiori informazioni attraverso il blog Trend Micro
