Coronavirus: false email dell’OMS contenenti malware.

L’epidemia mondiale in corso, a causa del covid-19 ed il drammatico momento che molti paesi del mondo, Italia in primis, si trovano ad affrontare, non ferma il cyber-crimine. In realtà lo alimenta ancora di più, come spesso accade nei periodi di forte crisi. In queste settimane infatti i criminali del web, approfittando dell’emergenza, stanno inviando in modo massivo false mail firmate OMS. La stessa Organizzazione Mondiale della Sanità ha lanciato l’allarme relativo a queste frodi informatiche. Ma non è tutto. Infatti, ci sono svariati tipi di attacchi informatici che sfruttano il forte stato d’ansia degli utenti per farli cadere nella trappola.

Le finte e-mail dell'OMS

Come riportato sul sito di Sophos, (una delle aziende leader nel settore della cyber-security), Il Sophos security team ha segnalato che circola in rete un e-mail phishing. Essa utilizza il tema del Coronavirus come esca. Con tanto di logo dell’Organizzazione Mondiale della Sanità. 
Nel messaggio è riportato (in lingua inglese):

Scorri il documento allegato sulle misure di sicurezza relative alla diffusione del coronavirus“.

Clicca sul pulsante qui sotto per scaricarlo“.

I sintomi più comuni comprendono febbre, tosse con respiro corto e difficoltà respiratorie“.

Coronavirus: false email dell'OMS contenenti malware 004

Come spesso accade in questi casi, vi sono errori grammaticali che sono dei segnali evidenti e dovrebbero far sorgere dei dubbi. Ma non tutti gli utenti, purtroppo, se ne rendono conto. La pagina web a cui si è reindirizzati una volta cliccato sul pulsante è anch’essa sospetta: Il nome stesso del sito non è pertinente e non presenta il protocollo HTTPS, oramai utilizzato dalla stra-grande maggioranza dei siti web, bensì il vecchio HTTP, motivo già di per se sufficiente per tenere gli occhi ben aperti e non inserire assolutamente informazioni personali. Visivamente è identica all’attuale home page dell’OMS e c’è un form da compilare. Le informazioni inserite cadranno ovviamente nelle mani dei malintenzionati, pronte per essere rivendute a terzi nel DarkWeb.

Solo i più esperti o, quantomeno attenti, si accorgono che c’è qualcosa che non quadra. Purtroppo moltissimi altri utenti, specie in un momento di forte vulnerabilità emotiva, invece, ci cascano.

C’è poi un’attacco mirato all’Italia che sta circolando sul web. Come riferisce Check Point sul suo blog si tratta di una e-mail, anche questa firmata OMS. Essa contiene in allegato un documento con nome f###########.doc (al posto delle # ci sono numeri). L’oggetto della mail è “Coronavirus: Informazioni importanti su precauzioni“. 

Il messaggio all’interno recita:

A causa del fatto che nella Sua zona sono documentati casi di infezione da coronavirus, L’Organizzazione Mondiale della Sanità ha preparato un documento che contiene tutte le precauzioni necessarie contro l’infezione da coronavirus.
Le consigliamo vivamente di leggere il documento allegato a questo messaggio!

Distinti saluti,
Dr. Penelope Marchetti (Organizzazione Mondiale della Sanità – Italia).

Coronavirus: false email dell'OMS contenenti malware 002
Clicca sull'immagine per lo zoom

Se si scarica e sia apre il file .doc viene fuori un’avviso di Office, ovviamente falso anche quello e, se si clicca su “Enable Editing” o su “Enable Content“, partirà il download di Ostap Trojan-Downloader, noto per essere un downloader di Trickbot. Trickbot è un Trojan bancario costantemente aggiornato con nuove funzionalità e vettori di distribuzioni che lo rendono altamente personalizzabile e adatto a diversi tipi di campagne criminali.

Coronavirus: false email dell'OMS contenenti malware 003
Clicca sull'immagine per lo zoom

Secondo quanto riporta Ceck Point, non è stato possibile trovare un medico di nome Penelope Marchetti all’interno dell’ OMS o Organizzazione Mondiale della Sanità. Inoltre, gli indirizzi e-mail dei mittenti non provengono da domini ufficiali OMS e, la maggior parte di essi, non è affatto italiano.

False mappe sul contagio

Un’altra minaccia che corre sul web in questi giorni è un malware, precisamente la variante AZORult. La minaccia, individuata dal MalwareHunterTeam e, successivamente, analizzata da un ricercatore di sicurezza di Reason Labs, sfrutta finte mappe del contagio caricate da una fonte legittima online ma che nascondono codice malevolo.

Il malware viene diffuso attraverso questi finti siti web che propongono un file eseguibile di ridotte dimensioni, appena 3,26 MB. Precisamente, il nome dell’eseguibile è Corona-virus-Map.com.exe ed è per soli sistemi Windows. Eseguendo il file viene mostrata una mappa del tutto simile a quella ufficiale della John Hopkins University. La finta mappa contiene, appunto, il malware AZORult che si installa in background nel sistema e ruba dati personali dell’utente memorizzati nel browser quali: nomi, password, carte di credito e codici di autenticazione ai siti web.

L’esecuzione del file apporta inoltre alcune modifiche alle chiavi di registro ZoneMap e LanguageList, creando una serie di duplicati del file con vari nomi: Windows.Globalization.Fontgroups.exe, Corona.exe, Build.exe, Bin.exe. Questi file tentano di connettersi a diversi URL attraverso la creazione di processi di sistema aventi lo stesso nome per consentire al malware di trasmettere i dati personali rubati.

Altri attacchi a tema Coronavirus

Come riportato dal sito della Polizia di Stato, un’altro tipo di attacco che si sta diffondendo in questo periodo è quello delle e-mail di banche o istituti di credito. Si stanno infatti moltiplicando i reati relativi all’ homebanking, carte ed e-commerce. La PS, inoltre, invita a verificare sempre l’attendibilità della fonte e accertarvi che le richieste di dati personali siano reali, anche contattando direttamente il vostro istituto di credito.
I casi sospetti possono essere segnalati sul portale della Polizia postale.

Poi c’è una notizia che circola in questi giorni: I ricercatori di Yoroi, durante la loro ricerca di intelligence, hanno scoperto un file eseguibile (CoronaVirusSafetyMeasures_pdf.exe). Il file, diffuso prevalentemente con campagne di phishing, è un’eseguibile che contiene il keylogger dropper RAT Repcos. Esso, una volta installatosi nel sistema, registra la pressione dei tasti, rubando così password, codici e qualsiasi informazione venga digitata. I dati arrivano ad un server C2 in ascolto all’indirizzo IP 66.154.98.108.

Un’altra campagna di phishing, è stata scoperta dall’IBM XForce Threat Intelligence. La campagna distribuiva il malware info stealer Lokibot, un trojan che si nasconde nei file di diversi formati per sfuggire ai controlli antivirus. Anche questo malware ha lo scopo di rubare dati personali. Le e-mail della campagna, camuffate, sembravano provenire dal Ministero della Salute della Repubblica Popolare Cinese.

E vi sono numerose altre segnalazioni di campagne criminali nel web dall’inizio dell’epidemia covid-19.

Come puoi difenderti

Oltre ai già citati suggerimenti della PS, per poterti difendere da queste minacce puoi seguire questi suggerimenti:

  1. Verifica sempre l’indirizzo e-mail del mittente. Se non lo conosci o ti sembra sospetto, cestina immediatamente. Inoltre, non scaricare per nessun motivo allegati di e-mail da un mittente che non conosci bene.
  2. Le mail che contengono diversi errori ortografici sono quasi sicuramente dannose. Cestinale subito.
  3. Se sul nome mittente è scritto Organizzazione Mondiale della Sanità, non significa assolutamente che essa provenga realmente dall’OMS. Chiunque può inserire il nome desiderato nel campo “Da:
  4. Non entrare su siti web con URL sospetta. Se, ad esempio, ti viene fornito un link affermando che si tratta della pagina ufficiale dell’OMS, puoi facilmente verificare l’autenticità del link cercando il sito dell’OMS direttamente su Google e confrontandone l’indirizzo URL. Stesso discorso per qualsiasi altro sito, come quello della banca o dell’istituto di credito.
  5. Non inserire dati personali o password su un sito web di cui non sei certo al 100%. In particolare, fai attenzione al protocollo. Se l’indirizzo inizia con HTTP anzichè con HTTPS, non è per niente sicuro. E, comunque, non ha senso che un sito che da indicazioni o notizie sulla salute debba richiedere dati personali.
  6. Occhio alle password! Se hai un minimo dubbio che qualcuno abbia rubato la tua password, cambiala immediatamente! Non usare la stessa password su più siti web.
  7. Utilizza l’autenticazione a due fattori (2FA), ove possibile. Si tratta di quel codice che, dopo aver inserito la password, ti viene inviato via SMS o sull’app ufficiale del servizio. Dunque, oltre alla password, bisogna inserire il codice ricevuto per autenticarsi. Anche se meno immediata, l’autenticazione 2FA è estremamente sicura.
  8. Utilizza un buon antivirus, anche gratuito, e fai periodicamente scansioni con altri software Anti-Malware.

Omegadvisor.com

Se l’articolo ti è stato utile,
condividilo!
Mi saresti di grande aiuto.
Grazie! Al prossimo articolo…

Potrebbero interessarti anche...

%d blogger hanno fatto clic su Mi Piace per questo: