di Corrado Aaron Visaggio
Purtroppo l’emergenza legata alla pandemia è un ottimo pretesto per veicolare malware. In questa manciata di mesi, durante i quali tutto il mondo è in lockdown, sono scoppiate numerose campagne di malware che fanno leva, principalmente, sulla necessità di informazione che la gente ha. E non solo su quella.
Moltissimi malware stanno circolando. Vediamo quali sono, cosa fanno e come arrivano quelli individuati fino ad ora.
Il vettore preferito di queste campagne di malware è la classica mail di phishing. Spesso queste mail riportano nell’oggetto la stringa “COVID-19”. Gli analisti dell’italianissimo ZLAB ne analizzano una. Nei casi più comuni, rilasciano dei RATs, ovvero strumenti di controllo remoto della macchina. La unit42 di Paloalto ha identificato mail di phishing che veicolano tre malware non recentissimi, quali NetWire, NanoCore e LokiBot, aventi allegati, tipicamente, estensioni .exe, .zip, .xls ed .uue.
I RAT fanno screenshot, installano keylogger (programmi che registrano ciò che digitiamo sulla tastiera), rilevano cookies e cronologia del browser e recuperano credenziali da una marea di applicazioni, preferibilmente -ma non solo- posta elettronica, programmi per il trasferimento di file (FTP) o per i servizi di VPN e connettività in genere.
Stanno prendendo piede anche false app di Android che promettono di fornire informazioni circa il CORONAVIRUS o che dicono di fornire funzionalità di supporto all’emergenza. Qui ne trovate una lista.
I Sentinel Labs hanno osservato ulteriori campagne di phishing, che rilasciano: Tesla (un keylogger), Kpot (uno stealer che esfiltra informazioni sugli account, dai browser, gli instant messanger, credenziali di accesso ad applicazioni di varia natura, quali: FTP, VPN, RDP, posta elettronica), i trojan generici, come Hawkeye (sostanzialmente uno spyware) e Metamorfo (pericoloso perché scarica ulteriori malware) e trojan bancari, cioè specializzati nell’intercettazione di credenziali a servizi di e-banking, come Zeus (non muore mai!) e Sphinx.
Tornano di moda gli MBR-rewriters: questo tipo di malware impedisce alla vittima di controllare il proprio computer: non può avviare alcuna applicazione oltre al malware che, in questo modo, può lavorare indisturbato.
In alcuni casi -l’ironia degli autori di malware è davvero diabolica- la vittima viene indotta a pensare che si tratti di un ransoware: in realtà è un locker (cioè un malware che blocca il pc) che sta solo prendendo del tempo per recuperare tutti i dati (per lo più credenziali) che possono tornargli comodo e che poi invierà al C&C (un computer remoto che riceve tutti i dati esfiltrati).
Purtroppo si riscontra anche un elevato tasso di wiper, cioè di malware che cancellano i dati dal disco della vittima in modo irreversibile.
Un perverso schema basato sulla sexortion è stato individuato dai ricercatori di Sophos: nella mail si minaccia la vittima di infettare l’intera famiglia con il Corona virus, perché gli estorsori, sostenendo di essere entrati in diversi account della vittima, dicono di conoscere ogni dettaglio della vita dei suoi familiari e sanno dove e come trovarli.
Malwabytes, invece, ha rintracciato una campagna che promette di installare un (falso) CORONA Antivirus, cioè un antivirus specifico per i virus a tema COVID-19. Ovviamente, il fantomatico antivirus scarica un RAT (BackNET) che esegue DDOS, cattura screenshoy, ruba i cookies e le password salvate, implementa un keylogger e prende il controllo di wallet Bitcoin.
Fate attenzione.