Il payload del malware consisteva in un avviso apparentemente proveniente da organi di polizia, con l'indicazione che il computer era stato utilizzato per attivita' illegali, come ad esempio il download di software pirata.
Il malware effettuava un blocco del sistema informando l'utente che, per sbloccare il computer, avrebbe dovuto pagare una multa utilizzando un servizio anonimo di pagamenti come Ukash o Paysafecard presente sulla fake pagina.
Per aumentare l'illusione che il computer veniva monitorato dalle forze dell'ordine, lo schermo visualizzava anche l'indirizzo IP del computer.
Versioni piu' recenti del malware potrebbero anche mostrare immagini da webcam per dare l'illusione che si stanno registrando le 'attivita'' svolte dall'utente.
Reveton inizialmente inizio' a diffondersi in diversi paesi europei, nei primi mesi del 2012.
Nel maggio 2012, i ricercatori Trend Micro hanno scoperto varianti per gli Stati Uniti e il Canada, il che suggerisce che i suoi autori avevano in programma di colpire utenti del Nord America. Nell'agosto 2012, una nuova variante di Reveton ha iniziato a diffondersi negli Stati Uniti, richiedendo il pagamento di una multa di 200 dollari per l'FBI utilizza una scheda MoneyPak.........
(fonte wikipedia) (altre info QUI)
La segnalazione apparsa su phishtank
e ripresa anche su d3lab.net parrebbe nuovamente mostrare una attivita' online legata a questo genere di attacchi.
Si tratta di un server che ospita false pagine di avviso di violazione della legge sulla distribuzione di materiale protetto da diritti di autore, di detenzione e distribuzione di materiale con contenuti porno ecc....
In realta' e' l'ennesimo tentativo online di proporre false comunicazioni a fronte di un probabile blocco del computer da parte di noto malware, con l'avviso di pagare la sanzione proposta.
Quello che rende interessante questo caso e' l'elevato grado di dettaglio raggiunto nel layout delle pagine proposte ed inoltre l'uso per il 'pagamento' di servizi quali Ukash e Paysafecard.
Ecco una ,incompleta, ma lunga serie di pagine proposte, che vengono personalizzate facendo riferimento all'IP di chi accede alla pagina stessa.
Attraverso un semplice script Autoit e' possibile commutare 'al volo' i nodi di uscita utilizzati da TOR
cosa che ha permesso di selezionare diverse provenienze 'virtuali' visitando la pagina del falso avviso della polizia.
Ecco come si presenta con
IP francese
IP belga
IP austriaco
con a fondo pagina
IP spagnolo
IP svedese
ma anche IP Canadese
e USA
IP irlandese
IP polacco
IP tedesco
IP finlandese
ecc.........
Sugli IP non presi in considerazione per la personalizzazione dei contenuti di pagina, viene usata questa di default (esempio con IP argentino)
Non poteva naturalmente mancare la pagina in italiano con
ed in dettaglio
e
Un altro interessante particolare e' il sistema adottato da chi gestisce le pagine per acquisire i pagamenti in maniera anonima.
Vengono infatti proposti due differenti modi di pagamento.
Il primo usa www.ukash.com il cui utilizzo parrebbe garantire l'acquisizione in modo anonimo del contante richiesto per pagare la falsa sanzione.
Su questo sito in lingua italiana un testo abbastanza chiaro su come funziona il sistema Ukash
Simile a Ukash e' il servizio fornito da www.paysafecard.com
sulla homepage del quale vediamo un avviso proprio sui casi visti prima.
Edgar
Nessun commento:
Posta un commento