Immuni, attenti alla mail truffa: la finta app anti-Covid è un ransomware

Nel giorno in cui in Italia parte la sperimentazione dell’app Immuni (in Liguria, Marche, Abruzzo e Puglia), si ha avuto evidenza di una nuova campagna di malspam segnalata dal CERT-AgID con cui i criminal hacker stanno diffondendo una finta app anti-Covid mediante un’ondata di e-mail fraudolenti che invitano le vittime a scaricare il file IMMUNI.exe che nasconde il ransomware FuckUnicorn.

FuckUnicorn nella mail truffa su Immuni

Se si esegue il file IMMUNI.exe, il ransomware nascosto nella finta app anti-Covid blocca l’accesso ai file archiviati nell’hard disk delle vittime criptandoli e chiedendo poi un riscatto di 300 euro per fornire la chiave di decodifica.

Per rendere credibile la truffa, le e-mail malevoli invitano le vittime a scaricare il file infetto da un sito che imita alla perfezione il sito della Fofi (Federazione Ordini Farmacisti Italiani). In realtà, sfruttando una tecnica omomorfa, i criminal hacker hanno registrato un dominio simile a quello reale in cui è stata sostituita la lettera “i” con la lettera “elle” minuscola (da fofi a FofI).

“Questo malware è un esempio italiano di adattamento dei criminali alle situazioni contingenti. Identificato per la prima volta dal ricercatore JamesWT, sfrutta il typosquatting con il dominio FOFL (che scritto minuscolo non si distingue dal dominio della FOFI) per dirigere l’utente verso un finto sito e fargli scaricare il malware”, è l’analisi di Paolo Dal Checco, Consulente informatico forense.

Immuni, come riconoscere la truffa della finta app anti-Covid

Una volta scaricato ed eseguito sul computer della vittima, il ransomware FuckUnicorn mostra subito una finta mappa con la diffusione del contagio del virus Sars-CoV-2.

Si tratta, ovviamente, di un escamotage per distrarre l’utente mentre il malware avvia la catena infettiva.

FuckUnicorn inizia subito a cifrare i file presenti sul sistema Windows usando l’algoritmo AES CBC e una password generata in maniera casuale che viene poi condivisa (in chiaro e quindi facilmente individuabile con un’analisi del traffico di rete) con il server di comando e controllo C&C raggiungibile all’indirizzo http://116[.]203[.]210[.]127/write.php, insieme ad altre informazioni tecniche sulla macchina compromessa.

Per individuare i file da criptare, il ransomware effettua una scansione delle seguenti directory:

• Desktop
• Links
• Contacts
• Documents
• Downloads
• Pictures
• Music
• OneDrive
• Saved Games
• Favorites
• Searches
• Videos

alla ricerca di file con estensione:

.txt, .jar, .exe, .dat, .contact, .settings, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .py, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .xml, .psd, .pdf, .dll, .c, .cs, .mp3, .mp4, .f3d, .dwg, .cpp, .zip, .rar, .mov, .rtf, .bmp, .mkv, .avi, .apk, .lnk, .iso, .7-zip, .ace, .arj, .bz2, .cab, .gzip, .lzh, .tar, .uue, .xz, .z, .001, .mpeg, .mp3, .mpg, .core, .crproj, .pdb, .ico, .pas, .db, .torrent”

Quindi, provvede a rinominarli aggiungendo l’estensione .fuckunicornhtrhrtjrjy.

Al termine, visualizza sul desktop della vittima la nota di riscatto con le istruzioni per il pagamento di 300 euro in Bitcoin necessari per ottenere di nuovo l’accesso ai file bloccati.

L’indirizzo e-mail indicato nella richiesta di riscatto, però, non è valido e ciò rende impossibile l’invio all’aggressore della prova di pagamento. Dalle evidenze ottenute dal CERT-AgID, comunque, al momento non sembrano esserci state transazioni registrate sul wallet di criptovalute indicato nella nota di riscatto.

Come difendersi dalla nuova truffa

Il ransomware FuckUnicorn nascosto nella finta app anti-Covid Immuni non, è dunque, particolarmente sofisticato e ciò può giocare a nostro favore per difenderci da questa nuova minaccia.

“Dal punto di vista del codice”, continua l’analisi di Paolo Dal Checco, “il programma malevolo è basato su Hidden Tear, una versione pubblica di malware facilmente modificabile, che indica come i criminali non siano stati particolarmente precisi nel codificare qualcosa di nuovo o indecifrabile, tanto che potenzialmente la password di cifratura può essere persino intercettata e i file decifrati senza pagare il riscatto”.

Per prevenire un eventuale attacco del ransomware FuckUnicorn camuffato da finta app anti-Covid Immuni basta seguire le consuete regole di sicurezza informatica da applicare per difendersi da questo tipo di minaccia:

• in ambito aziendale può essere utile, innanzitutto, sostituire gli antivirus basati su firme virali con i più efficienti software di controllo dotati di analisi comportamentale e quindi in grado di rilevare eventuali operazioni non autorizzate anche se non viene memorizzato alcun file sull’hard disk della macchina compromessa;
• considerando poi che il ransomware FuckUnicorn scansiona alcune directory ben precise, può essere sempre utile applicare il principio di “least privilege” quanto si procede alla creazione degli utenti sulla macchina da proteggere;
• è poi importante che le aziende strutturino un team di esperti che salvaguardi la sicurezza del perimetro cyber dell’organizzazione: il malspam è una minaccia ormai molto diffusa e la mail è oggi il veicolo di infezione predominante perché consente ai criminal hacker di sfruttare la leggerezza e la distrazione degli utenti nell’aprire le e-mail e gli allegati;
• è utile, inoltre, dotarsi anche di idonei strumenti di protezione della rete informatica per il rilevamento e l’analisi del traffico di rete, che ovviamente devono essere mantenuti sempre aggiornati;
• fondamentale, poi, attuare la giusta formazione del personale sensibilizzandolo sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo: è molto importante investire sulla security awareness non solo dei dipendenti ma anche di tutti gli “utenti aziendali” e quindi anche clienti e fornitori esterni.

Per tutti, anche al di fuori dell’ambito aziendale, valgono infine i consigli per proteggersi dal ransomware:

• effettuare un backup dei file, mantenuto in posizione sicura, secondo le best practice comunemente usate nei piani di disaster recovery;
• prestare sempre la massima cautela quando si ricevono e-mail di provenienza sospetta o da mittenti sconosciuti;
• evitare di aprire gli allegati di posta elettronica, soprattutto se sono in formato eseguibile. Se si tratta, invece, di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.

Poiché FuckUnicorn prende di mira gli utenti Windows, possiamo difenderci da un attacco utilizzando il tool anti-ransomware integrato nell’antivirus (già conosciuto come Windows Defender) preinstallato e attivo di default su tutte le installazioni Windows:

1. clicchiamo sull’icona Sicurezza di Windows presente nella system tray di Windows, vicino all’orologio di sistema;
2. nella schermata che appare clicchiamo su Protezione da virus e minacce;
3. scorriamo l’elenco delle opzioni disponibili e individuiamo la voce Protezione ransomware, quindi clicchiamo su Gestisci protezione ransomware;
4. nella schermata che appare impostiamo su Attivato il cursore presente nella sezione Accesso alle cartelle controllato;
5. infine, clicchiamo su Cartelle protette e definiamo l’elenco delle directory sulle quali attivare il monitoraggio anti-ransomware per segnalare eventuali modifiche non autorizzate ai file in esse contenute.