È stata scoperta una nuova campagna spear phishing a tema Covid-19/coronavirus che utilizza illegittimamente ancora il marchio dell’OMS (Organizzazione Mondiale della Sanità), nel tentativo di convincere i destinatari della sua autenticità, per diffondere l’ennesima variante dell’infostealer Lokibot con l’obiettivo di rubare dati personali e informazioni riservate alle vittime.
Dal momento in cui questo malware è apparso in natura, diverse sue versioni sono state identificate, tutte varianti del codice sorgente originale. Anche le relative modalità di distribuzione sono state le più disparate: file ZIP, macro Microsoft Word/Excel, file RTF con exploit CVE-2017-11882 (Office Equation Editor), oltre al commercio underground nelle Darknet.
Indice degli argomenti
Spear phishing a tema coronavirus: i dettagli
La campagna di diffusione di seguito descritta, individuata per la prima volta lo scorso 27 marzo dai ricercatori di FortiGuard Labs, si è già diffusa rapidamente in varie parti del mondo, interessando ancora in forma poco marcata anche l’Italia che completa la lista dei primi 10 paesi colpiti dalla campagna di spear phishing:
- Turchia (29%);
- Portogallo (19%);
- Germania (12%);
- Austria (10%);
- Stati Uniti (10%);
- Belgio, Porto Rico, Italia, Canada e Spagna (<1%).
Analisi dell’e-mail di spear phishing a tema coronavirus
Il messaggio di posta elettronica diffuso in questa nuova campagna di spear phishing contiene l’oggetto Coronavirus disease (COVID-19) Important Communication[.] e un allegato apparentemente contenente informazioni extra sull’argomento, ma che in realtà rappresenta il vero vettore malevolo.
Il mittente
L’e-mail presenta sull’intestazione del mittente un alias che si riferisce al WHO Centers for Disease Control, che però dall’analisi completa degli header maschera in perfetto stile spoofing un dominio sospetto con indirizzo IP [159.69.16 [.] 177].
Il corpo del messaggio
Il messaggio, nel maldestro tentativo di invogliare il destinatario alla lettura, punta i riflettori sul problema della disinformazione al riguardo della pandemia di coronavirus, che sta prendendo piede e che intende contrastare con il documento guida in allegato, e passa in rassegna vari suggerimenti e raccomandazioni.
Come evidenziato dagli stessi analisti, uno sguardo più attento però mostra degli errori grammaticali e ortografici nell’inglese scritto e un grossolano errore sull’identità del firmatario e-mail che si riferisce al CDC (Centers for Disease Control) di Ginevra che nulla ha a che vedere con i rapporti tra l’OMS ed il CDC (Centers for Disease Control and Prevention) degli Stati Uniti.
L’allegato
L’allegato e-mail è un file compresso con estensione .arj (Archived Robert Jung): si tratta di un formato di compressione insolito e probabilmente usato dagli attaccanti, come sospettano gli stessi ricercatori, nel tentativo di ingannare la vittima presentandole un formato diverso rispetto a quelli segnalati usualmente negli alert come sospetti.
La sua decompressione (ad esempio con il programma 7-zip) mostra la vera estensione del file eseguibile, anche se spacciata come .doc e .pdf. Di seguito i dettagli:
File compresso .arj
- Nome: COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.zip.arj
- SHA256: 9e17f5e70c30ead347b68841fa137015d713269add98f0257fb30cc6afdea4fe
File decompresso .exe
- Nome: COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.pdf.exe
- SHA256: f8e041bed93783bbd5966bfba6273fe7183464035ea54fe1d59ff85a679b3e3e
Una volta aperto l’allegato, la vittima designata viene infettata dall’infostealer Lokibot, implementato per carpire varie tipologie di credenziali (FTP, e-mail e browser, solo per citarne alcune) e inviarle ad un server di comando e controllo localizzato all’indirizzo hxxp: [.] // bslines xyz / Copia / cinque / fre.php.
Conclusioni
Per contrastare campagne di phishing, spear phishing e malspam in generale valgono delle raccomandazioni da seguire in sinergia da aziende e personale allo scopo di bloccare le minacce in modo proattivo e prima che raggiungano i target:
- mantenere aggiornate definizioni e firme di antivirus e di ogni strumento di protezione utile in modo costante e sulla base degli aggiornamenti resi disponibili dagli stessi produttori;
- adottare a livello aziendale un’adeguata valutazione del rischio anche nel caso non fosse possibile mettere in campo le dovute precauzioni per limiti tecnici e/o economici, puntando in ogni caso alla sensibilizzazione di tutto il personale tramite cicli formativi di security awareness;
- eseguire tramite gli uffici di sicurezza preposti dei test di apprendimento con varie tecniche d’ingegneria sociale allo scopo di istruire all’individuazione e gestione diretta sul campo gli utenti finali.
