Già noto in passato per aver preso di mira gli utenti di Facebook e Twitter, il worm Dorkbot è ora “mutato” e nelle ultime varianti scoperte dalla società di sicurezza ha avviato una nuova campagna di infezioni a mezzo Skype. Con un bonus mica da ridere: prendere in ostaggio i file degli utenti e chiedere un riscatto in denaro.
Il worm è in grado di diffondersi attraverso la lista di contatti Skype presente su un PC infetto, disseminando messaggi ammiccanti in lingua inglese o tedesca (“Lol is this your new profile pic?” la variante inglese).
Un click sul link allegato porta inevitabilmente al download di un file eseguibile infetto contenuto all’interno di un archivio zip, alla cui apertura avviene l’ infezione del PC con una backdoor e l’arruolamento forzato della macchina all’interno di una botnet.
A questo punto, gli ignoti cyber-criminali che gestiscono la rete malevola hanno mano libera e possono procedere con il loro piano di sequestro file sul modello dei ransomware già individuati in passato: i file vengono cifrati e i criminali chiedono il pagamento di un “riscatto” in denaro (200 dollari) entro 24-48 per la loro decifrazione.
Il worm non si fa mancare niente, nemmeno la comparsa di messaggi pop-up secondo i quali il PC sarebbe servito per accedere a materiale pedopornografico o musica pirata: anche in questo caso l’invito è a pagare un compenso economico per evitare conseguenze peggiori. Fortunatamente per gli utenti di Skype, dicono le società di sicurezza, al momento la variante “VoIP” del worm Dorkbot non risulta particolarmente diffusa.
Alfonso Maruccia