Anche in Italia si diffondono attacchi cyber di ogni genere, campagne di phishing e malspam che, sfruttando l’ondata di emotività e allarmismo creata dalla diffusione del coronavirus, fanno arrivare via mail vari tipi di malware che cercano di rubare informazioni personali. In prima linea, quelle con malware Emotet e Trickbot; ma di recente si riportano casi con altri malware.
Indice degli argomenti
Coronavirus, phishing e malspam: l’allarme della Polizia Postale
Sophos a marzo ha riportato in Italia campagne di mail che contengono Trickbot in documenti Word, dove si promettono informazioni utili sul coronavirus. Analogamente, di pochi giorni fa la diffusione massiccia di e-mail contenenti allegati con il banking trojan Emotet. Si noti come questi due malware vadano spesso a braccetto: Emotet è a volte usato come framework di distribuzione di Trickbot. Obiettivo, esfiltrare informazioni personali dell’utente, soprattutto dati bancari.
Di qualche giorno fa, invece, l’alert diffuso dalla Polizia Postale in merito ad un attacco phishing ai danni di utenti degli istituti bancari Intesa San Paolo e Monte dei Paschi, sempre per rubare dati bancari.
In particolare, in questo caso, i criminal hacker stanno diffondendo e-mail con una falsa informativa e una comunicazione urgente in merito all’emergenza sanitaria.
In relazione all’emergenza sanitaria connessa alla diffusione del coronavirus (Covid-19), la stessa Polizia Postale tramite il suo sportello della sicurezza web aveva già segnalato un aumento di messaggi divulgati mediante applicazioni di messaggistica e social network contenenti notizie che possono generare disinformazione oltre che veicolare malware di vario tipo.
Coronavirus: le finte e-mail dell’OMS
Come se non bastasse, anche l’Organizzazione mondiale della sanità (OMS) avverte di attacchi di phishing a tema coronavirus in corso che impersonano l’organizzazione stessa con l’obiettivo finale di rubare informazioni e consegnare virus informatici alle vittime.
I messaggi appaiono inviati da funzionari dell’OMS che chiedono agli interlocutori di condividere le proprie credenziali, reindirizzandoli ad una pagina di destinazione di phishing tramite collegamenti dannosi incorporati nelle e-mail o chiedendo loro di aprire allegati malevoli armati con i più insidiosi malware in circolazione.
Un esempio di tale campagna di phishing che utilizza Covid-19 come esca è stata individuata dal team di sicurezza di Sophos.
Altri casi di campagne mail malevoli a tema coronavirus
È notizia di questi giorni che i ricercatori di Yoroi hanno scoperto durante la loro ricerca di intelligence un eseguibile CoronaVirusSafetyMeasures_pdf.exe il cui metodo più probabile di diffusione sembra essere una campagna di phishing che lo consegnerebbe come allegato.
L’eseguibile, un dropper RAT Remcos, dopo aver assicurato la propria persistenza sul sistema colpito inizia a registrare le sequenze di tasti e quindi a rubare password, dati di accesso ai servizi online e altri dati riservati dell’utente esfiltrandoli poi su un server C2 in ascolto all’indirizzo 66[.]154[.]98[.]108.
All’inizio del mese di febbraio, invece, i ricercatori di IBM X-Force Threat Intelligence hanno scoperto un’altra campagna di phishing che distribuiva il malware info stealer Lokibot tramite e-mail progettate per sembrare come se fossero state inviate dal Ministero della Salute della Repubblica Popolare Cinese.
Alla fine del mese di gennaio è stata osservata anche un’ennesima distribuzione di payload di Emotet mentre si avvertivano segnalazioni di infezione da coronavirus in varie prefetture giapponesi.
Circa una settimana fa, il collettivo di ricerca sulla sicurezza MalwareHunterTeam ha trovato invece un documento di Microsoft Office sempre a tema coronavirus contenente macro dannose, fingendo di provenire dal Center for Public Health del Ministero della Salute dell’Ucraina.
Siti malevoli
Checkpoint invece riporta che nei primi 20 giorni di marzo sono nati 16 mila siti infetti contenenti mappe che si dichiarano aggiornate sull’epidemia.
Le pagine web contengono codice malevolo che cerca di rubare i dati personali. Spesso il codice è proprio nella mappa.
Ransomware
Alcuni malware allegati alle mail sono ransomware. Cyberark è in pagine web segnalate con link via mail e mira a bloccare il PC. CovidLock invece è nascosto in app Google Play e blocca lo smartphone.
Il trojan che ruba carte di credito da cellulare
Ancora diverso Ginp, il mobile banking trojan che promette di visualizzare la posizione delle persone risultate positive al coronavirus. In realtà il suo scopo è quello di rubare i dati delle carte di credito delle vittime.
Si diffonde via messaggi su cellulare e spinge a scaricare un’app malevola, che poi porta a inserire i dati della carta su un modulo.
Come difendersi da phishing, malspam e malware a tema coronavirus
Per contrastare questo fenomeno in evoluzione, oltre ad una dotazione minima di protezione tramite antivirus periodicamente aggiornati, occorre innanzitutto cautela e seguire delle semplici regole di buona pratica valide per contrastare, in generale, sia il phishing sia il malspam:
- verificare sempre il mittente controllando l’indirizzo e-mail;
- controllare dove puntano realmente i link contenuti nei messaggi di posta prima di fare clic: basta passarci di sopra con il mouse e leggere l’indirizzo reale nella barra di stato del programma di posta elettronica;
- prestare attenzione quando si forniscono informazioni personali: non fornire mai le proprie credenziali a terzi; se abbiamo fornito informazioni riservate, reimpostiamo al più presto le credenziali di accesso sui siti ufficiali; nessuna banca o altra autorità ci chiede le nostre credenziali
- scaricare app solo dagli store ufficiali Google e Apple
- non farsi prendere dal panico o sentirsi sotto pressione, cedendo a trucchi allestiti puntualmente per far cliccare su collegamenti o aprire allegati malevoli.
Si ricorda, inoltre, che le uniche informazioni e comunicazioni attendibili riguardo al coronavirus in Italia sono quelle divulgate dal Ministero della Salute e dalla Protezione Civile Nazionale.
È importante, inoltre, evitare di condividere eventuali messaggi di allarme ricevuti e segnalarli subito tramite il portale della polizia postale.
