Un ransomware veicolato grazie ad account Dropbox compromessi. È quanto hanno scoperto i ricercatori di Trend Micro, che hanno descritto le attività del programma TorrentLocker: un malware già noto in passato e indicato dall’azienda come una tra le minacce di cui tenere conto in questo 2017. L’attacco TorrentLocker inizia per esempio con una fattura via email da parte di un fornitore. Il documento però non si trova in allegato, ma è accessibile con un link Dropbox che contiene riferimenti e numeri di conto per farla sembrare autentica. TorrentLocker, utilizzando il servizio storage in cloud, può aggirare i sensori gateway nel momento in cui non è presente un allegato e il link è di un sito legittimo.

Quando l’utente clicca il collegamento, scarica immediatamente un file Javascript mascherato da fattura: se aperta inizia il download di un altro Javascript che esegue TorrentLocker. Una caratteristica rilevante delle nuove varianti del ransmoware è che sono pacchettizzate come sistema di installazione Nsis (Nullsoft Scriptable Install System) per evitare di essere rilevate, tecnica utilizzata da altre minacce come Cerber, Locky, Sage e Spora.

Nel periodo compreso tra il 26 febbraio e il 6 marzo la Smart Protection Network Trend Micro ha rilevato 54.688 email spam, che contenevano Url diretti a 815 diversi account Dropbox. Il grosso dell’attacco sta colpendo l’Europa, concentrandosi nei giorni lavorativi tra le ore 09:00 e le 10:00, l’arco temporale in cui viene controllato il grosso dei messaggi di posta elettronica.

I Paesi più coinvolti sono Germania, Norvegia, Austria, Spagna e Turchia. Trend Micro sta collaborando con Dropbox per cercare di risolvere il problema. L’azienda che sviluppa il servizio di storage sulla nuvola ha spiegato di aver già rimosso tutti i file fraudolenti scoperti e di aver bannato gli utenti proprietari degli account.