L’infezione virale nata nella provincia di Wuhan in Cina, continua a terrorizzare tutto il mondo e sta assumendo le caratteristiche di una “mini-pandemia”. Questo stato di agitazione e fermento ha però creato anche le condizioni perfette per i Criminal Hacker per approfittare delle paure della gente.
Allarme Coronavirus
È stata infatti appena rilevata una vera e propria ondata di campagne – che sfruttano delle botnet – di phishing che hanno come tema proprio il Coronavirus.
Nel dettaglio la campagna fa leva su delle email che sembrano contenere bollettini medici e misure preventive per evitare l’infezione. In una sorta di perverso scherzo, la scusa di un virus viene utilizzato per diffonderne un altro, nello specifico, l’arcinoto Trojan Emotet.
Per il momento la maggior parte delle email di phishing sono state tracciate verso il Giappone – anche perché in gran parte erano proprio scritte in giapponese – testimonianza del fatto che i Criminal Hacker stanno cercando di prendere di mira i Paesi geograficamente più vicini all’epicentro dell’infezione.
Coronavirus e phishing via email
Solitamente l’oggetto delle email include la data corrente e la parola “notifica” dando un vero e proprio senso di grande urgenza a chi riceve il messaggio di posta; questo è uno dei cavalli di battaglia di ogni buona email di Phishing, mettere pressione al ricevente per far si che non presti troppa attenzione ai contenuti del messaggio.
Nelle istanze rilevate dallo stesso Governo giapponese le email sembravano avere come apparente mittente il Dipartimento di Welfare. Il testo recitava – in maniera abbastanza succinta – “Un paziente affetto da coronavirus è stato individuato nella tua provincia, per tutti i dettagli si veda il documento in allegato”.
Allegato ovviamente contenente il malware.
Altre versioni seguivano sempre lo stesso modello, magari variando dettagli come numero di infetti o province e distretti coinvolti.
Non mancavano anche alcuni accorgimenti per far sembrare le email più ufficiali e veritiere come footer contenenti indirizzi email, numeri di telefono e fax legittimi e appartenenti alle autorità responsabili della sanità nella provincia in cui risiede la vittima.
Vecchia infezione, nuovi metodi
In precedenza, le campagne di phishing per diffondere Emotet mirate al Giappone, così come in quasi tutti i Paesi del mondo, si sono concentrate sulle notifiche di pagamento e sulle fatture in stile aziendale; insomma seguendo una strategia simile a quella delle email destinate alle vittime europee o nord americane.
Questo nuovo approccio per il delivery dell’infezione Emotet potrebbe avere molto più successo, a causa dell’ampio impatto del coronavirus e della paura delle infezioni che lo circondano.
Come avviene
Dal punto di vista tecnico, a parte “l’esca” utilizzata, la campagna è altrimenti un Emotet piuttosto banale, senza soluzioni particolarmente evolute o raffinate. Questo fa pensare che dietro non ci sia un gruppo di Criminal Hacker particolarmente esperto, ma unicamente solo molto scaltro.
Il documento allegato, una volta aperto, visualizza un messaggio di Office 365 che chiede all’utente di “abilitare il contenuto” se il documento è stato aperto in modalità di visualizzazione protetta.
Come nella maggior parte degli attacchi via e-mail di Emotet, se l’allegato viene aperto con macro abilitate, un macro script VBA offuscato apre Powershell e installa un downloader Emotet in background.
Le macro estratte utilizzano la stessa tecnica di offuscamento delle altre email di Emotet osservate negli ultimi anni.
Non è solo Emotet che sta cercando di seminare caos approfittando della crescente paranoia dovuta al coronavirus.
Anche altri malware a tema virus sono stati scoperti recentemente, mascherati sotto le spoglie di file .PDF, .MP4, .DOC che scimmiottavano informazioni cruciali per combattere l’epidemia.
Solitamente i nomi dei file implicano istruzioni video su come proteggersi dal virus, aggiornamenti sulla minaccia e persino procedure di rilevamento dei virus, cosa che in realtà – almeno ancora – non avviene.
I file contengono una serie di minacce, tra cui trojan e worm in grado di distruggere, bloccare, modificare o copiare i dati e di interferire con il funzionamento dei computer o delle reti.
Fino ad oggi sono stati visti circolare 10 diversi documenti, tutti contenenti malware.
Le truffe continueranno a lungo
Con il numero di casi di coronavirus – che purtroppo ha già superato l’epidemia di SARS del 2003 – la malattia sarà probabilmente un’esca per le campagne di Phishing duratura per qualche tempo a venire.
Più è alto il livello d’attenzione per la tematica epidemia più alta sarà l’incidenza e la ricorrenza di malware che utilizzano questa scusa per diffondere il malware. Un’altra conseguenza a dir poco certa è che presto – al pari del diffondersi del contagio “vero” – queste campagne si diffonderanno anche in altre parti del globo.
I criminali informatici che tentano di capitalizzare sui fatti di attualità non sono certo una novità, come si è visto nelle campagne per i mondiali di calcio che spuntano ogni quattro anni.
Lo stesso Emotet si era recentemente palesato in una campagna di phishing che aveva usato come esca l’attivista per il cambiamento climatico e la Time Person of the Year Greta Thunberg.
Il testo all’interno dell’email includeva alcuni temi diversi, tra cui la nomina di Greta Thunberg a Time, le vacanze di Natale e la sensibilizzazione e l’attivismo ambientale in generale.
Come difendersi
Ovviamente la linea di difesa contro questi attacchi è quasi sempre puramente “umana” e fa leva sull’awerness.
Queste alcune best practice per diminuire drasticamente l’incidenza e il rischio d’infezione da malware via mail di phishing:
- Eseguire dei controlli costanti del proprio conto corrente: movimenti e transazioni sono da tenere sempre monitorate in modo da accorgersi in caso di scostamenti irregolari;
- Segnalare ogni contenuto potenzialmente pericoloso come SPAM. Se pensi di essere oggetto e bersaglio di una campagna di phishing, segnalalo al tuo client di posta contrassegnandolo come SPAM;
- Ricevuto un messaggio, verificarne sempre la sua provenienza. Un indicatore possibile di phishing, come abbiamo visto in precedenza, sono gli errori: rileggilo più e più volte se non sei sicuro;
- Nel caso in cui viene individuato il chiaro tentativo di phishing, ovviamente, non cliccare su alcun link presente nel messaggio e, tanto meno, non scaricarne eventuali allegati.