Il periodo che stiamo ormai vivendo tutti da oltre un mese è stato caratterizzato – dal punto di vista della cyber security – da un’impennata degli attacchi a tema coronavirus.
Dalle e-mail di phishing, diffuse in maniera sempre più massiccia a causa del ritorno delle botnet, ai malware nascosti all’intero delle app per il tracciamento del contagio, sembra proprio che l’argomento pandemia sia diventata la leva privilegiata dai criminal hacker.
E non mancano le novità tra le “esche” utilizzate.
Indice degli argomenti
Il caso dei falsi ebook
Di sicuro ai criminal hacker non manca la creatività. Nell’ultimo mese in tutto il mondo sono state scoperte alcune campagne di phishing e malspam a dir poco peculiari.
Qualche settimana fa l’Organizzazione Mondiale della Sanità (OMS), già vittima di alcuni attacchi, era stata utilizzata nuovamente come esca. Questa volta il nome dell’organizzazione veniva speso per ingannare le vittime a scaricare un falso ebook che conteneva un infostealer.
Al destinatario della mail di phishing veniva richiesto di scaricare il falso ebook, chiamato “My-Health”, dal file ZIP allegato. Tuttavia, l’archivio compresso conteneva al suo interno solo il downloader VB6 GuLoader, che a sua volta attivava il trojan di infostealing FormBook.
Il payload GuLoader è una minaccia di recente sviluppo, il cui scopo è di scaricare e installare il componente finale del malware recuperandolo da Google Drive.
Il malware tenterà quindi di rubare i dati delle vittime, per esempio le credenziali memorizzate nei browser e in altre applicazioni prima di esfiltrarle nel server di comando e controllo gestito dai criminal hacker.
Tra le varie campagne che impersonano l’OMS, al momento questa è stata probabilmente la più convincente, per sofisticazione e modalità di esecuzione e, sulla base dei dati raccolti da numerosi ricercatori, ha avuto un’ampia distribuzione nel mondo.
GuLoader è un file eseguibile portatile (PE) che viene spesso osservato nascosto in un file di archiviazione come gli .iso o i .rar. È utilizzato principalmente per scaricare trojan di accesso remoto (RAT) e infostealer come Tesla/Origin Logger, FormBook, NanoCore RAT, Netwire RAT, Remcos RAT, Ave Maria/Warzone RAT e Parallax RAT.
L’e-mail creata ad hoc per diffondere il finto e-book è sicuramente visivamente accattivante, ma presenta abbastanza indizi che indicano all’utente che non è legittima, tra cui la sillabazione errata del nome come Corona-virus, strani usi di lettere maiuscole e qualche lacuna grammaticale.
Formbook, il trojan scaricato in questa campagna, è uno dei più popolari infostealer in circolazione al momento, grazie alla sua semplicità e alla sua vasta gamma di funzionalità, tra cui il keylogging e il furto di dati dai browser.
Ovviamente da parte sua, prevedendo tali attacchi, il mese scorso l’OMS è corsa ai ripari e ha avvertito che gli utenti devono verificare l’autenticità delle persone o delle organizzazioni che li contattano per conto dell’OMS.
Nell’avviso, tra le altre cose, l’OMS ha assicurato che non chiederà mai il nome utente o la password per accedere alle informazioni sulla sicurezza, non invierà mai allegati e-mail non richiesti, non chiederà mai di visitare un link al di fuori di www.who.int, non farà mai pagare per fare domanda di lavoro, per registrarsi a una conferenza o per prenotare un hotel e non condurrà mai lotterie o offrirà premi, sovvenzioni, certificati o finanziamenti tramite e-mail.
Attenti a finti e-shop e farmacie abusive
Sulla stessa falsariga della truffa legata ai finti ebook, stiamo anche assistendo a una vera e propria esplosione di segnalazioni di siti web di e-commerce fasulli che spuntano all’improvviso.
Il New York Times, per esempio, ha analizzato le registrazioni di nuovi siti presso la società Shopify, che permette a chiunque abbia un indirizzo e-mail e una carta di credito di creare siti web di vendita al dettaglio in breve tempo. L’azienda, che in passato ha contribuito a costruire siti di e-commerce di successo come Kylie Cosmetics, il marchio di bellezza da 1,2 miliardi di dollari fondato da Kylie Jenner, ha registrato quasi 500 nuovi siti negli ultimi due mesi con nomi che includono “corona” o “covid.
Uno dei nuovi siti messi sotto la lente d’ingrandimento ha commercializzato una macchina a “concentrazione di ossigeno” per 3.080 dollari. Un altro aveva il “Corona Necklace Air Purifier”, che per 59 dollari dichiarava di fornire “Protezione per tutto il giorno”. Un terzo ha offerto una pillola da 299 dollari che prometteva “Protezione antivirale” per 30 giorni. E siti come CoronavirusGetHelp.com e test-for-covid19.com hanno commercializzato kit di test a domicilio per $29,99 a $79, nessuno dei quali è stato approvato né tantomeno testato.
Ovviamente, molti dei venditori non possiedono effettivamente la merce, né hanno verificato che i prodotti siano legittimi. Spesso gli operatori dei siti sono intermediari che eseguono gli ordini dei clienti acquistando articoli su altri siti web: una sorta di brokeraggio digitale noto come “dropshipping”. Shopify è attraente per queste nuove imprese perché il suo software è in grado di integrare i siti con i fornitori lontani, per lo più in Cina.
Shopify, da parte sua, ha detto che la scorsa settimana la società ha chiuso più di 4.500 siti relativi al virus e ha sostenuto che i siti che non hanno confermato le dichiarazioni mediche che hanno fatto sono stati sospesi dalla piattaforma.
