Nuova campagna veicola il ransomware Dharma

19/02/2020

dharma ransomware

Dai ricercatori italiani, JAMESWT, TG Soft e reecDeep, emergono evidenze di una nuova campagna malevola che nella giornata di ieri ha veicolato il ransomware Dharma. Quest’ultimo, denominato anche CrySIS, è apparso per la prima volta nel 2016 e nel corso del tempo si è evoluto in diverse varianti ed è sempre più attivo.

Come di consueto, Dharma è distribuito come allegato dannoso nelle e-mail. In questo caso, all’utente arriva una e-mail con oggetto “Fattura n. 637 del 14.01.20“, nell’ e-mail è allegato un collegamento che se cliccato porterà a una pagina OneDrive per scaricare un file zip denominato “Nuovo documento 2.zip” contenente due file:

  • uno script VBS  ‘Nuovo documento 2.vbs‘ 
  • un file informato jpg denominato “‘yuy7z

Se l’utente esegue il VBS “Nuovo documento 2.vbs“, verranno installati diversi payload di malware. Inoltre, secondo quanto riportato dai ricercatori, il ransomware aggiunge l’estensione .ROGER ai file cifrati e nella nota di riscatto invita l’utente a contattare l’indirizzo sjen6293@gmail.com per ricevere informazioni sul pagamento.

 

Indicatori di compromissione

  • IoC (.txt) – Domini, Hash, URL
  • Hashr (.txt) – Hash