Il C.R.A.M di TgSoft ha individuato e analizzato quella che risulta essere, ad ora, la prima campagna di email di spam per diffusione malware a tema Coronavirus contro utenti italiani. Campagne su questa tematica si sono già viste in tutto il mondo: ovviamente i primi colpiti sono stati paesi asiatici (Cina, Giappone, Corea del sud ecc...), ma mano a mano che l'ondata di panico si è diffusa a livello globale, anche le campagne di diffusione malware hanno iniziato ad allargare il bacino delle proprie vittime.
Per approfondire >> Il Coronavirus sbarca sul web: individuate decine di campagne di phishing che sfruttano la paura del virus
Sfruttare il panico da Coronavirus è "una tecnica vincente" per gli attaccanti, un utilizzo per loro assai profittevole delle tecniche di ingegneria sociale: le vittime infatti, di fronte ad una email scritta in corretto italiano e con riferimenti precisi all'Organizzazione Mondiale della Sanità (OMS), saranno facilmente indotti anche dal clima generale a seguire le istruzioni contenute nel testo.
Il campione di email pubblicato da TGSoft è visibile sotto:
 |
| Fonte: http://www.tgsoft.it/ |
L'email contiene un documento Word in formato .doc che viene presentato nel testo come un vademecum dell'OMS contenente le precauzioni da adottare contro il Coronavirus dato che "nella Sua zona sono documentati casi di infezione". Il documento, che richiede l'abilitazione di una macro per poter visualizzare correttamente il contenuto, contiene in realtà un file JSE che appartiene alla famiglia dei malware Ostap: Ostap è un downloader JScript individuato per la prima volta nel 2016 ed è solitamente diffuso tramite archivi contenenti documenti Office per i quali viene richiesta l'abilitazione di una macro. Viene solitamente usato per la diffusione di malware bancari e di infostealer.
La versione individuata da TgSoft rimane attiva sul computer infetto, quindi inizia ad inviare una serie di dati esfiltrati dalla macchina verso il dominio https://45.128.134[.]14/C821al/vc2Tmy.php. Ad ora i dati esfilitrati e inviati al server C&C sono:
- Nome Computer;
- Nome PC;
- IP in locale della macchina;
- Modello della scheda di rete.
RICORDIAMO
che vi sono delle fonti ufficiali e attendibili dalle quali trarre informazioni e vademecum con le istruzioni di comportamento per la prevenzione e il controllo della diffusione del Coronavirus. Invitiamo a fare riferimento solo ed esclusivamente ai siti ufficiali dell'Organizzazione Mondiale della Sanità, del Ministero della Salute Italiano e della vostra Regione di residenza o domicilio.
Nessun commento:
Posta un commento