Mentre l’attenzione dei media è focalizzata sull’evoluzione della diffusione del coronavirus, gruppi di criminali informatici ne approfittano per infettare i nostri sistemi.

L’argomento che più di ogni altro sta monopolizzando l’attenzione mediatica delle ultime settimane è la diffusione del temuto coronavirus.

In queste ore, all’aumentare del numero di casi conclamati, si diffondono in rete notizie di ogni genere circa i potenziali rischi di una diffusione incontrollata in tutto il mondo.

Gli utenti della rete sono alla continua ricerca di informazioni sull’evoluzione delle infezioni, termini come Wuhan (città epicentro dell’infezione) e coronavirus sono trend topics sui principali social networks.

L’attenzione mediatica sul coronavirus non poteva passare inosservata da parte dei principali gruppi dediti al crimine informatico che quindi hanno cominciato a condurre una serie di attacchi sfruttando l’elevato interesse degli utenti online sul tema.

Memore di quando è accaduto in passato in occasione di disastri di varia natura, ho immediatamente allertato il gruppo di ricercatori del mio laboratorio Z-Lab affinché potessero individuare campagne di spam finalizzate alla distribuzione di codici malevoli diffondendo documenti esca che promettono informazioni circa la temuta pandemia.

Nelle prime in cui si fornivano informazioni sui primi casi di contagio, i ricercatori della Z-Lab di Yoroi-Cybaze hanno osservato l’utilizzo di mail esca per la diffusione di versioni di malware note da tempo nella comunità di ricercatori, uno di questi codici malevoli è appunto Emotet. Abbiamo rilevato che gli attaccanti avevano solo creato il contenuto di e-mail ad hoc, mentre le versioni di Emotet utilizzate sono le medesime osservate in campagne nei mesi scorsi.

 

Con il passare delle ore, i miei timori si sono materializzati, infatti i ricercatori di Kaspersky e di IBM hanno individuato documenti esca relativi al coronavirus che erano stati utilizzati in campagne di malspam.

Secondo l’azienda di sicurezza Kaspersky, gli attaccanti stanno utilizzando diverse tipologie di file malevoli, compresi pdf, mp4 e docx sul tema “coronavirus” per diffondere malware. Molti dei file utilizzati negli attacchi di queste ore si presentano come documenti contenenti informazioni sul virus, sulla sua diffusione, e su istruzioni su come proteggersi dal contagio.

Questi file sono realizzati per avviare l’attacco da parte di Trojan, ransomware e worm che possono essere utilizzati per molteplici scopi malevoli, come il furto di credenziali bancarie.

“Il coronavirus, una notizia che sta occupando le prime pagine di tutti i media in questi giorni, è già stato utilizzato come esca dai criminali informatici. Finora abbiamo osservato solo 10 file unici ma, come spesso succede con argomenti di interesse generale, prevediamo che questa tendenza possa crescere. Tenuto conto che si tratta di un tema che sta generando grande preoccupazione tra le persone di tutto il mondo, siamo certi che rileveremo sempre più malware che si nascondono dietro a documenti falsi sulla diffusione del coronavirus”, ha spiegato Anton Ivanov, malware analyst di Kaspersky.

Per i più tecnici tra voi suggerisco il rapporto pubblicato da IBM X-Force, fornisce sicuramente maggiori dettagli sulle campagne in corso, ivi compresi alcuni indicatori da poter monitorare per comprendere l’evoluzione dei fenomeni.

 

I ricercatori di IBM, hanno confermato quanto da me osservato in queste ore, ovvero il tentativo da parte di organizzazioni criminali di sfruttare l’attenzione sul tema coronavirus. Per questo motivo sono state individuate campagne e-mail per la diffusione del trojan bancario Emotet attraverso documenti word diffusi attraverso e-mail.

IBM riporta alcuni esempi di e-mail apparentemente inviate da un ente governativo giapponese ed aventi come tema la diffusione del virus.

ll testo dei messaggi afferma che ci sono state segnalazioni di pazienti affetti da coronavirus in alcune prefetture in Giappone e sollecita il lettore a visualizzare il documento allegato.

Seguendo uno schema consolidato di infezione, una volta aperto il documento l’utente visualizza la richiesta di abilitare le macro per vederne il contenuto. Purtroppo, abilitando le macro, si avvia il processo di infezione della macchina, un powershell viene eseguito per scaricare ed installare una versione del trojan Emotet in maniera silente.

Purtroppo, nulla di nuovo.

Cosa accadrà nei prossimi giorni?

Quanto riportato da IBM è solo un caso, purtroppo nei prossimi giorni attacchi che sfruttano il tema coronavirus andranno ad aumentare esponenzialmente per cui è buona norma restare vigili e seguire alcuni semplici consigli come:

• Non aprire i link sospetti che vi invitano a prendere visione di informazioni sul coronavirus. Questi link possono essere diffusi attraverso e-mail, messaggi di instant messaging app come WhatsApp, ed anche social network. Cercate le informazioni sul coronavirus tramite fonti affidabili e legittime, ignorate ogni messaggio non sollecitato, anche se proveniente da persone di vostra conoscenza.
• Mantenete i vostri sistemi software aggiornati, ed utilizzate una soluzione di sicurezza affidabile sui vostri sistemi desktop e mobile.