Momenti di apprensione per tutti gli utenti del Web alla ricerca di un buon browser che possa sostituire quello utilizzato quotidianamente, magari alla ricerca di un’alternativa più leggera e veloce nel caricamento di pagine e filmati: un ransomware capace di spacciarsi per un pacchetto di installazione di Google Chrome ha mietuto diverse vittime, che navigando da un sito all’altro sono incappati in quella che credevano essere la versione ufficiale del browser di punta di Big G.
Il nome del ransomware è Win32/Filecoder.NFR, ed è stato scoperto per la prima volta dalla società di cyber security Eset, che ha inoltre avuto il merito di portarne alla luce i meccanismi particolarmente contorti, essendo associato ad un server facente parte della rete TOR, che tutti conosciamo per essere emersa nel mondo del deep web in seguito a casi di sicurezza informatica di portata internazionale.
I cyber pirati coinvolti nella creazione e nella diffusione del ransomware mascherato da Google Chrome possono così orientarne le proprietà ancora più al riparo dagli occhi delle autorità, impostando il numero di Euro o Bitcoin necessari per il riscatto virtuale assieme ai messaggi da mostrare all’utente: si tratta quindi di una vera e propria evoluzione a capo del mondo dei malware, che non stentano a diventare più complicati che mai, richiedendo un approccio del tutto diverso per essere eradicati.
Il funzionamento in locale di Win32/Filecoder.NFR è tuttavia comune a quello di molti altri ransomware: una volta raggiunto il sistema della vittima tramite un download accidentale, decomprimerà tutto il suo contenuto in una cartella temporanea, pronto ad essere eseguito ad ogni riavvio del sistema operativo.
Si tratta di un elemento nocivo molto ben camuffato, in quanto l’icona principale è identica a quella di Chrome, così come il nome del presunto file di installazione (Chrome.exe). Nonostante questo, un utente più esperto potrà rivelare velocemente la sua falsità, essendo assenti informazioni specifiche sul prodotto nella scheda relativa alle proprietà, così come la firma digitale, del tutto mancante. La tecnologia alla base di Filecoder è, infine, particolarmente versatile, e potrebbe essere utilizzata per criptare dati o presentare nuovi attacchi sfruttando come vettore dei file dall’estensione del tutto legittima, come potrebbero essere i diffusi MP3, i formati AVI, TXT, DOC, GIF e numerosi altri tra i più popolari.
L’invito è naturalmente rivolto ad evitare i download di copie di Google Chrome da siti contrassegnati come minaccia, oppure da raccolte di software estranee a Google, preferendo avviare la procedura di installazione connettendosi alla pagina ufficiale del browser: in attesa di una soluzione ufficiale a quello che sembra essere uno dei primi seri ransomware dell’anno, possiamo ovviamente tutelarci e garantirci download sicuri sfruttando queste poche e semplici regole.
Lascia un commento