Scoperti siti web che fanno scaricare un programma “Corona Antivirus” o “Covid 9 Antivirus”, con un file (update.exe) che contiene il malware Blacknet. La scoperta è degli esperti di Malwarebytes.com ed è stata rilanciata in queste ore dalla Polizia Postale
Indice degli argomenti
Come funziona il “Corona Antivirus”
Questa nuova minaccia nasce sulla scia di quelle legate al coronavirus, fingendosi un antivirus che promette questa volta di proteggere l’utente – non il PC – dal vero e proprio Coronavirus (sic).
Il programma che viene installato sul PC è in realtà un RAT, cioè un sistema di accesso remoto che permette ai delinquenti di connettersi al computer delle vittime e spiarne il contenuto, rubarne informazioni o utilizzarlo come vettore per ulteriori attacchi (in una botnet)
Il malware rende il pc in grado di ricevere i seguenti comandi.
hxxps[://]instaboom-hello[.]site//connection[.]php?data=[removed] hxxps[://]instaboom-hello[.]site//getCommand[.]php?[removed] hxxps[://]instaboom-hello[.]site//receive[.]php?command=[removed]
L’aspetto interessante è che il codice del RAT “BlackNET” è stato pubblicato circa un mese fa sulla piattaforma Github, così da permettere chiunque di clonarlo e utilizzarlo per fini illeciti, oltre che ovviamente per fini di studio. Questo dimostra come la necessità stia spingendo i criminali verso soluzioni semplici, spesso pubbliche e gratuite, per eseguire attacchi verso bersagli sempre più vulnerabili perché inesperti, cioè coloro che per la prima volta in queste settimane si affacciano al mondo di Internet.
La difesa
La miglior difesa è quella di dotarsi di antimalware o antivirus noti, senza improvvisare installazioni spinte da popup, email o suggerimenti su siti e social network. Oltre, ovviamente, a non aprire/installare link o programmi se non ne conosciamo con certezza la fonte.
