Il ransomware sfrutta abusivamente il logo dell’ente pubblico
Roma – Una massiva campagna di malspam sta colpendo pubbliche amministrazioni ed aziende, diffondendo il ransomware Maze. L’operazione sta ottenendo successo grazie al fatto che Maze sfrutta il logo istituzionale dell’Agenzia delle Entrate, cercando di rendere credibile la propria comunicazione e traendo così in inganno le proprie vittime. Le email che pervengono sono scritte in un italiano abbastanza corretto e allegano un file Word con oggetto «VERDI.doc» che è armato di una macro malevola in grado di crittografare i dati una volta eseguito il codice ed avviato, tramite il download, il ransomware Maze. Rilevato per la prima volta dagli analisti di CERT-PA lo scorso 25 ottobre, il Maze si sta diffondendo tramite due nuovi domini registrati: agenziaentrateinformazioni.icu e agenziaentrate.icu. La variante del ransomware è veicolata tramite l’exploit SpelevoEk, che sfrutta la vulnerabilità CVE-2018-15982 presente nelle versioni di Flash Player 31.0.0.153 e 31.0.0.108. Una volta completata l’installazione del payload, Maze modifica l’estensione dei file presenti nel sistema, cifrandoli con l’algoritmo RSA-2048. Tra i file cifrati ce n’è sempre uno denominato decrypt-files.txt contenente la nota di riscatto con le istruzioni su come aprire un sito web ospitato sulla rete TOR e procedere con il pagamento richiesto per ricevere la chiave per decrittografare i dati. Il ransomware Maze fornisce per altro alle sue vittime un’interfaccia di decrittografia online che permette loro di decriptare tre dei loro file bloccati come prova che la procedura di sblocco è effettivamente possibile e funzionante. Infine su un proprio sito il ransomware Maze offre persino una chat di supporto per ulteriori informazioni da chiedere direttamente ai criminali informatici.