Coronavirus Fonte foto: Shutterstock
SICUREZZA INFORMATICA

Il Coronavirus diventa anche Criminal Hacking

Di Pierguido Iezzi

Il pericolo del coronavirus non sembra limitarsi alla semplice dimensione della nostra salute, ma sempre più Criminal Hacker ne stanno approfittando per portare a termine i loro attacchi.

Questo perché, mentre il coronavirus – o COVID-19 – esplode in una pandemia mondiale, i Criminal Hacker continuano a sfruttare la malattia per diffondere malware nei computer di tutto il mondo.

Un “doppia epidemia”

Solo la settimana scorsa, un team di ricercatori che opera nel mondo della sicurezza informatica ha identificato una serie di nuove minacce che vanno dagli attacchi malware a tema coronavirus, agli URL maligni sino alle truffe di credential stuffing.

Come se non bastasse, due imponenti campagne malware collegate al coronavirus si sono palesate nello stesso periodo: una che utilizza un’e-mail di phishing per diffondere i payload di Remcos RAT (Remote access trojan) e malware e l’altra che utilizza un documento di Microsoft Office per inserire una backdoor sul computer della vittima.

Nel primo caso, la campagna si presenta sotto forma di e-mail di phishing con un PDF che offre misure di sicurezza per il coronavirus. In realtà all’interno si trovano file .exe per un RAT (Remcos) che viene eseguito insieme a un file VBS che esegue il malware.

Le vittime vengono istruite a scaricare il documento dal servizio di file sharing “senza censura”, che poi installa due file eseguibili nella directory di sistema “C:\Users\<username>\Subfolder” sul computer della vittima. Un VBScript diventa poi il punto di lancio per eseguire gli .exe.

Nel dettaglio, è stato spiegato, il campione analizzato dai ricercatori ha mostrato una raffinatezza unica nella sua capacità di evitare il rilevamento da parte delle tipiche protezioni firewall.

Ha infatti stabilito una connessione protetta TLS (Transport Layer Security) a una piattaforma di file sharing chiamata ‘share.]dmca.]gripe,’ possibilmente per evitare gli avvertimenti sulla reputazione sollevati dai firewall di ultima generazione.

Un’altra nuova campagna di posta elettronica scoperta in tempi non sospetti include un documento di tre pagine a tema coronavirus di Microsoft Office che si suppone provenga dal Centro per la Salute Pubblica del Ministero della Salute dell’Ucraina.

Invece di offrire informazioni legittime, il documento contiene macro dannose che possono far installare sul pc della vittima una backdoor con funzionalità come il furto di informazioni, il keylogging e la possibilità di sottrarre screenshot dal computer della vittima.

La scala del fenomeno

Per comprendere quanto si stia ingigantendo il fenomeno, sono stati registrati a livello globale oltre 4.000 domini correlati al coronavirus. Di questi siti web, il 3% è risultato essere dannoso e un ulteriore 5% è sospettoso. I domini correlati ai coronavirus hanno il 50% di probabilità in più di essere dannosi rispetto agli altri domini registrati nello stesso periodo.

Solo lo scorso mercoledì, è stata osservata una nuova campagna di phishing che imita falsi messaggi dal Centers for Disease Control Statunitense (CDC) che informano di come il coronavirus sia “ufficialmente diventato aereo” e come ci “sono stati confermati casi della malattia nella vostra posizione”.

L’email, che secondo i ricercatori è una stata fatta con grande perizia, contiene un kit di phishing che tenta i destinatari di cliccare su un URL che sembra essere un link legittimo del CDC per saperne di più sulla minaccia localizzata del coronavirus.

Dietro il link è incorporato uno dei tre redirect maligni utilizzati dagli aggressori che portano le vittime a uno dei diversi domini di primo livello che utilizzano ciascuno un certificato SSL.

Agli utenti viene semplicemente presentata una pagina di login generica di Microsoft cliccando sul link. L’indirizzo e-mail del destinatario viene aggiunto all’interno dell’URL, popolando così automaticamente la casella di login con il nome del suo account. L’unica cosa che l’utente deve fornire ora è la sua password e agli aggressori sarà possibile prendere il controllo della posta della vittima.

Per sviare ulteriormente i sospetti, se le credenziali vengono inserite nel sito, l’utente viene poi inviato al sito web legittimo di CDC.

Secondo i ricercatori i Criminal Hacker hanno iniziato a sfruttare le notizie del coronavirus per diffondere il malware a gennaio – in quel caso soprattutto in Giappone – attraverso un’ondata di email dannose, guidate da botnet, che utilizzavano il virus come tema.

Il loro arrivo nel nostro Paese è quindi solo una questione di tempo…

© Italiaonline S.p.A. 2020Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963