Hacker e Coronavirus: non si fermano le minacce

Nonostante la fine del periodo più critico dell’emergenza legata al Covid-19 non accennano a fermarsi gli attacchi perpetrati utilizzando la scusa del virus e di tutto ciò che ne consegue, come i sussidi e le app di contact tracing. Nell’articolo di oggi vedremo quali sono le ultime minacce riscontrate dai vari osservatori sulla sicurezza web.

Aziende prese di mira

Un attacco phishing piuttosto importante è quello subito da un’azienda tedesca che si occupa di distribuire i materiali protettivi (DPI) necessari per il contenimento del Covid-19. Ad aggiungere gravità all’attacco c’è anche il coinvolgimento di tutte le altre imprese che collaborano con la vittima principale, il cui nome non è stato ancora reso pubblico anche per via della partnership di quest’ultima col governo centrale tedesco.
L’unica cosa nota, al momento, è che l’attacco è iniziato nel giorno in cui l’azienda ha assunto l’incarico della raccolta e distribuzione dei DPI. La provenienza delle email è stata riscontrata in un solo indirizzo IP al quale erano legati quasi 300 URL malevoli e caselle attribuibili a tutti i membri dell’azienda, anche i vertici. Nei messaggi inoltrati era presente un link che riportava a una finta pagina Microsoft con una pagina di login. All’interno di quest’ultima gli utenti quindi inserivano le loro credenziali che venivano poi prontamente trafugate dagli hacker che riuscivano anche ad avere accesso alle reti aziendali coinvolte.

Applicazioni pericolose

Come abbiamo riportato anche altre volte su questo blog, molte minacce online sono state distribuite utilizzando la scusa del contact tracing e delle varie app per poterlo effettuare. Questi tentativi si sono susseguiti con regolarità anche durante il mese di giugno appena trascorso. In molti paesi, compresa l’Italia, sono stati infatti segnalati diversi tentativi di truffa perpetrati provando a fare scaricare file APK malevoli relativi a 12 app, per i sistemi operativi Android, riguardanti il Covid-19. I link diffusi dagli hacker, che reinviavano a store esterni a quelli ufficiali o a siti corrotti, facevano invece scaricare trojan bancari come Anubis e Spynote, già noti agli analisti come strumenti utilizzati per rubare credenziali bancarie ed altri dati.

Erogazioni di credito, continue minacce

Abbiamo già parlato in un recente articolo delle minacce online distribuite sfruttando la necessità di aiuti economici ad aziende e privati durante e dopo l’emergenza sanitaria. Come nel caso delle app malevole, continuano le segnalazioni di questo genere di truffe in ogni parte del mondo e coinvolgendo milioni e milioni di potenziali vittime. Gli attacchi riscontrati a giugno hanno riguardato, fra gli altri, paesi come Stati Uniti, India, Corea del Sud e Giappone, ma ciò non esclude potenziali minacce anche in paesi finora non coinvolti. Il modus operandi utilizzato per truffare le vittime è sempre più o meno lo stesso. Viene ricevuta una email apparentemente inviata da un ente pubblico o una organizzazione statale nella quale si dichiara che verrà erogata una cifra sostanziosa per aiutare la ripartenza dopo il Coronavirus. Ovviamente la quantità di denaro e la valuta cambiano a seconda del paese delle vittime, ma in ogni tentativo di phishing riscontrato viene chiesto l’invio di informazioni personali rispondendo direttamente alla mail ricevuta.

Diffusione di false informazioni

A fine giugno è stata segnalata una nuova minaccia distribuita via mail utilizzando un messaggio apparentemente inviato dalla World Bank. Nella mail si parla di iniziative intraprese dall’istituto per fronteggiare la crisi economica mondiale dovuta all’emergenza sanitaria, ma invita a scaricare file eseguibili o compressi malevoli che possono potenzialmente avere effetti molto gravi sui sistemi delle vittime.
Una volta che i file vengono avviati o decompressi, il bootkit Rovnix viene installato sul pc della vittima, nel quale riuscirà ad avere il controllo ed i privilegi da amministratore aggirando tutti i protocolli di sicurezza rendendo anche invisibile l’infezione in corso. Oltre a questo pericolo, esiste anche la possibilità che Rovnix riesca ad avviare altri file eseguibili, controllare in toto il PC e registrare dal microfono interno a suo piacimento.

 

Come ci siamo trovati spesso a ripetere, quando si tratta di sicurezza online ogni minima distrazione può risultare potenzialmente fatale. Sebbene utilizzare strumenti di alto livello e costantemente aggiornati possa farci sentire al riparo da eventuali problemi, è molto frequente anche vedere sistemi violati per via di semplici sviste dovute all’urgenza. In molti dei casi appena visti si può dire che lo stato di necessità finanziaria o di informazioni sia stato il perno sul quale appoggiarsi per effettuare attacchi hacker. Non è assurdo pensare che attacchi simili si possano verificare nuovamente anche nei prossimi mesi, pertanto è fondamentale, come di consueto, prestare la massima attenzione ed evitare di aprire file sospetti inviati via email da mittenti poco attendibili.

 

Fonti: 1, 2, 3, 4