Un nuovo ceppo del ransomware CryptoLocker prende di mira i giocatori attraverso giochi e servizi online, tra cui Minecraft, World of Warcraft e la piattaforma Steam.
Una nuova variante di CryptoLocker che prende di mira i giocatori è stata scoperta in natura.
Giovedì, i ricercatori di sicurezza di Bromium Labs hanno rivelato l’esistenza di un nuovo cripto-ransomware che prende di mira i giocatori facendoli pagare per sbloccare ciò che già possiedono. Il malware, che colpisce i file di dati di oltre 20 giochi, viene distribuito da un sito Web compromesso che reindirizza i visitatori all’exploit kit di Angler utilizzando una clip Flash.
Al momento della stesura del sito Web non è stato rivelato, poiché i ricercatori di Bromium Labs hanno informato il proprietario ma non hanno ancora ricevuto una risposta.
Il sito Web basato su WordPress sta ancora servendo malware e non è noto se il sito sia caduto preda di un exploit WP. Inoltre, l’URL che ospita il file Flash dannoso continua a cambiare.
Invece di un tipico reindirizzamento iframe, il team afferma che la clip Flash è racchiusa in un tag <div>, potenzialmente nel tentativo di evitare il rilevamento. La clip stessa effettua chiamate a JavaScript e crea un iframe all’interno, che porta a Angler. Vengono quindi effettuati controlli per la presenza di macchine virtuali o software antivirus prima che un recente exploit Flash, CVE-2015-0311 , e un vecchio exploit IE, CVE-2013-2551 , vengano eliminati.
La variante CryptoLocker, soprannominata TeslaCrypt e scoperta per la prima volta da Fabian Wosar di Emsisoft, si comporta come un tipico ransomware, bloccando il sistema della vittima fino al pagamento. Viene visualizzato un banner che richiede il pagamento e spiega che i file dell’utente sono stati crittografati. Viene inoltre imposto un limite di tempo alla vittima per cercare di instillare il panico e costringere l’utente a pagare. I criminali informatici richiedono il pagamento tramite un sito Web situato tramite la rete TOR.
Il ceppo CryptoLocker prende di mira 185 estensioni di file, che non è una quantità enorme per questo tipo di malware, ma si concentra selettivamente sui videogiochi.
Numerosi giochi per giocatore singolo popolari sono stati interessati, tra cui Call of Duty, Minecraft, Dragon Age: Origins, FEAR e Half-Life 2. Inoltre, i giochi online tra cui World of Warcraft, Day Z e League of Legends sono stati presi di mira. Tuttavia, il malware persegue anche file specifici dell’azienda, inclusi file EA Sports, file Valve, file Bethesda e software come Steam.