Una nuova variante del malware AZORult si nasconde in una finta mappa del coronavirus per rubare password, credenziali di accesso (ad esempio degli account online su Telegram e Steam) e dati riservati degli utenti.
Ancora una volta, quindi, i criminal hacker approfittano della paura di massa per la pandemia da COVID-19, la sindrome respiratoria acuta grave causata dal virus SARS-COV-II, per diffondere le loro campagne malevoli così come giù successo il mese scorso con il banking trojan Emotet.
Indice degli argomenti
Finta mappa del coronavirus: di cosa si tratta
Questa nuova minaccia è stata individuata per la prima volta dal MalwareHunterTeam la scorsa settimana ed è stata ora analizzata in dettaglio da Shai Alfasi, un ricercatore di sicurezza dei Reason Labs.
In particolare, Alfasi ha scoperto che la finta mappa del coronavirus vengono caricate da una fonte legittima online, ma in realtà nascondono il codice malevolo che avvia la catena infettiva di AZORult.
Il malware, scoperto per la prima volta nel 2016, è di tipo infostealer ed è quindi progettato per raccogliere informazioni memorizzate nei browser web delle vittime, in particolare cookie, cronologie di navigazione, ID utente, password e persino chiavi di codifica delle criptovalute.
Con questi dati in loro possesso, i criminal hacker sono in grado di rubare numeri di carte di credito, credenziali di accesso e varie altre informazioni sensibili.
La nuova variante del malware AZORult diffuso attraverso le finte mappe del coronavirus sarebbe inoltre in grado di generare un account di amministratore nascosto nei computer infetti per consentire connessioni tramite il protocollo RDP (Remote Desktop Protocol).
I dettagli tecnici della nuova minaccia
Analizzando i dettagli tecnici della nuova variante di AZORult è venuto fuori che il malware si diffonde attraverso il file Corona-virus-Map.com.exe, un semplice eseguibile Win32 con una dimensione del carico utile di soli 3,26 MB che i criminal hacker hanno impacchettato in modo da rendere difficoltosa l’individuazione e l’analisi da parte dei ricercatori di sicurezza.
Inoltre, il codice malevolo è dotato di un suo task scheduler che gli consente di rendere persistente il suo funzionamento nel sistema infetto.
Eseguendo il file vengono mostrate alcune informazioni sulla diffusione di COVID-19, tra cui una “mappa delle infezioni” in tutto e per tutto simile a quella ufficiale e aggiornata in tempo reale dalla Johns Hopkins University che, è bene precisare, non è stata in alcun modo compromessa dai criminal hacker e rimane quindi una delle fonti sicure per rimanere aggiornati sulla diffusione del coronavirus.
L’esecuzione del file EXE apporta quindi alcune modifiche alle chiavi di registro ZoneMap e LanguageList e crea tutta una serie di duplicati dello stesso file eseguibile e di altri identificati come Corona.exe, Bin.exe, Build.exe e Windows.Globalization.Fontgroups.exe.
Questi ultimi file attivano quindi alcuni processi di sistema con lo stesso nome che tentano di connettersi a diversi URL e creare diverse attività di comunicazione in rete che servono al malware AZORult per raccogliere diversi tipi di informazioni.
Inoltre, la nuova variante del malware AZORult nascosto nella finta mappa del coronavirus utilizza la libreria nss3.dll (utilizzata anche da altri threat actor) per la decodifica delle password salvate dalla vittima e la generazione di dati di output. I dati di login estratti dal browser dell’utente vengono quindi memorizzati all’interno della cartella C:WindowsTemp.
A questo punto, il malware AZORult genera un ID univoco del computer infetto, applica la crittografia XOR e avvia la comunicazione con il server di comando e controllo C2 controllato dai criminal hacker.
L’analisi tecnica dei Reason Labs sottolinea, infine, che l’esecuzione del malware è l’unica interazione richiesta all’utente per consentire ad AZORult di procedere con il furto di informazioni riservate: non serve che la vittima interagisca con la finta mappa del coronavirus.
Rimuovere il malware e prevenire nuovi attacchi
Per la diffusione del malware i criminal hacker sfruttano la legittima preoccupazione degli utenti per la pandemia in corso che li spinge a scaricare file e informazioni da Internet desiderosi di conoscere l’evoluzione della COVID-19.
La scoperta della nuova variante del malware AZORult nascosto nelle finte mappe del coronavirus è stata resa pubblica lo scorso 9 marzo, per cui è probabile che tutti i principali antivirus siano già in grado di identificare, bloccare ed eventualmente rimuovere il codice malevolo.
È dunque fondamentale, come sempre in questi casi, aggiornare il proprio software di controllo con le ultime firme virali.
E naturalmente occorre affrontare la pandemia di COVID-19 con la massima cautela sia nella vita reale sia in quella virtuale: rimaniamo a casa per evitare contatti con altre persone e, quando cerchiamo su Internet informazioni aggiornate sul coronavirus, evitiamo di scaricare file e documenti da siti sconosciuti ma rivolgiamoci esclusivamente a fonti autorevoli come quelli della John Hopkins University o della Protezione Civile italiana.
