Il nuovo Trojan può scegliere se infettare le sue vittime con un cryptor o con un miner

GravityRAT aggiunge Android alla lista degli obiettivi

Recenti indagini relative alle minacce cyber emergenti hanno rilevato nuovi campioni dannosi della famigerata famiglia di Trojan denominata Trojan-Ransom.Win32.Rakhni.

La principale caratteristica di questo malware è che può scegliere come infettare le sue vittime: con un cryptor o con un miner.

Secondo la ricerca, il malware colpisce preferibilmente realtà aziendali, piuttosto che singoli utenti, ed è diffuso soprattutto in Russia (per il 95,57%).

È presente, però, anche in Kazakistan (per l’1,36%), in Ucraina (per il 0,57%), in Germania (per lo 0,49%) e in India (per lo 0,41%).

Solo nell’ultimo anno, più di 8.000 utenti sono stati attaccati da Trojan-Downloader.Win32.Rakhni Trojans.

La distribuzione del malware viene implementata tramite email spam che hanno in allegato dei documenti che contengono un eseguibile malevolo.

Quando il file viene aperto, l’eseguibile dannoso viene avviato. È in quel momento che il Trojan decide quale payload deve essere scaricato sul PC della vittima.

ll malware verifica quindi la presenza della directory “% AppData% \ Bitcoin”, una directory che può essere indicativa dell’archiviazione in locale di un portafoglio digitale in bitcoin.

Secondo i ricercatori, la presenza di questa directory potrebbe suggerire che le vittime saranno disposte ad effettuare dei pagamenti per riavere i loro file, così il Trojan cripta i file della vittima con un cryptor.

Questo garantisce all’attaccante un profitto in tempi rapidi. Altrimenti, i cybercriminali cercheranno di “guadagnare” denaro dalla vittima colpita dal Trojan, senza che lui o lei se ne accorga, usando un miner – a condizione che il PC abbia una capacità sufficiente per attività di data mining ad alta intensità.

“Il fatto che il malware possa decidere quale payload utilizzare per colpire le sue vittime è solo un ulteriore esempio delle possibili tattiche usate dai criminali informatici per raggiungere i loro scopi. I cybercriminali cercheranno sempre di trarre dei vantaggi dalle loro vittime: estorcendo il denaro in modo diretto (con un cryptor), usando in modo non autorizzato le risorse dell’utente per i propri scopi (con un miner) o sfruttando la vittima nella catena di distribuzione del malware (net-worm)”, ha commentato Orkhan Mamedov, Malware Analyst di Kaspersky Lab.

La presenza del malware è stata segnalata con i seguenti responsi:

  • Downloader: Trojan-Downloader.Win32.Rakhni.pwc
  • Miner: not-a-virus:RiskTool.Win32.BitCoinMiner.iauu
  • Cryptor: Trojan-Ransom.Win32.Rakhni.wbrf