Campagna di email di spam a tema Coronavirus contro utenti italiani: non solo furto dati, ma anche ransomware

Abbiamo fornito alcune informazioni su quella che appare essere la prima campagna di distribuzione malware a tema Coronavirus qualche giorno fa, in questo post, facendo riferimento all'analisi del C.R.A.M dei colleghi di TgSoft.

Torniamo adesso sull'argomento per due diversi motivi: il primo è che le email veicolo del malware sono ancora in diffusione, quindi la campagna di malspam ancora non è terminata, mentre il secondo è che ulteriori analisi hanno individuato un altro malware in diffusione tramite la stessa campagna, ovvero TrickBot. 

L'email vettore

L'email vettore, ricordiamo, ha per oggetto ""Coronavirus: Informazioni importanti su precauzioni" e presenta l'allegato dannoso come un vademecum con informazioni necessarie per la prevenzione e il contenimento del virus.

Come si vede, l'email contiene un allegato .DOC dannoso, che, una volta aperto richiede l'abilitazione di contenuti per una corretta visualizzazione del vademecum.

Se la vittima fa clic su Abilita Contenuti viene attivata la macro dannosa che estrarrà alcuni file per installare e lanciare il malware TrickBot. La catena di infezione completa è visibile sotto, ricostruita dai ricercatori di Sophos: 

Traduzione e riadattamento da https://news.sophos.com/

Una volta che Trickbot viene installato, inizia la raccolta di varie tipologie di informazioni dal computer infetto, ma tenta anche la diffusione laterale lungo la rete per infettare altre macchine e ottenere maggiori dati. Per eseguire queste azioni TrickBot scarica anche vari moduli, ognuno responsabile di un preciso comportamento: tra questi moduli per il furto dei cookie, delle informazioni del browser, delle chiavi OpenSSh, per il furto del database degli Active Directory Service e per diffondersi su altri computer. 

In alcuni casi TrickBot lancia poi PowerShell Empire o Cobalt Strike per fornire l'accesso alle macchine infette al ransomware Ryuk. A questo punto gli attori di Ryuk Ransomware prendono il controllo, verificano la rete, ottengono le credenziali di amministrazione, scaricano il ransomware Ryuk e criptano i file su tutti i computer della rete. 

Questo è il motivo per il quale TrickBot è un malware molto pericoloso, fungendo ormai anche da accesso per infezioni malware molto gravi. 

Ribadiamo di affidarsi solo a fonti ufficiali per informazioni, aggiornamenti e direttive. Invitiamo a fare riferimento solo ed esclusivamente ai siti ufficiali dell'Organizzazione Mondiale della Sanità, del Ministero della Salute Italiano e della vostra Regione di residenza o domicilio.