Si chiama Coronavp il malware creato ad hoc dalla pirateria informatica per sfruttare la paura della gente e carpire informazioni riservate e personali dagli utenti
Un trojan Emotet nascosto dietro un avviso relativo alle misure di prevenzione dal virus
Un nuovo rapporto di IBM X-Force Exchange ha rilevato che i criminali informatici stanno sfruttando l’epidemia di Coronavirus e lo stanno utilizzando per diffondere malware.
“La pratica di sfruttare gli eventi di cronaca a risonanza mondale basando e-mail malevoli su argomenti importanti e attuali è diventata comune tra i criminali informatici. Tale strategia in genere facendo leva sulla paura diffusa, induce le vittime a fare clic su collegamenti dannosi o ad aprire file pericolosi, aumentando l’efficacia di una campagna di malware”.
Stiamo assistendo in questi ultimi giorni alla prima campagna di questo tipo, in cui lo scoppio di un virus biologico viene utilizzato come mezzo per distribuire un virus informatico.
I ricercatori IBM affermano che ciò che rende questi attacchi piuttosto speciali, è la diffusione del trojan Emotet.
Il virus viene diffuso attraverso una mail che induce le vittime ad aprire un documento Word allegato, descritto come un presunto avviso relativo alle misure di prevenzione delle infezioni.
Trojan Emotet: la prima diffusione in Giappone
Sceondo IBM, le prime e-mail di questo tipo erano nascoste dietro un invio da parte di un non meglio specificato fornitore di servizi di welfare per diversamente abili in Giappone.
Dopo che i ricercatori IBM hanno aperto il documento attraverso una sandbox, hanno potuto ripercorrere il processo di infezione: se l’allegato veniva aperto con le macro abilitate, uno script macro VBA offuscato apriva PowerShell e installava un downloader Emotet in background.
Ora la mail dannose simulano la provenienza direttamente dall’OMS
A sua volta la società britannica di software di sicurezza Sophos ha intercettato un’e-mail con il logo dell’Organizzazione Mondiale della Sanità (OMS).
Tale mail sempre più diffusa sta circolando, chiedendo alle persone di leggere un documento allegato sulle misure di sicurezza relative alla diffusione del coronavirus.
Se si inserisce il proprio indirizzo email o la propria password e si clicca, si invia il modulo web compilato direttamente ai criminali. Peggio ancora, lo si invia tramite una connessione non crittografata.
Gli utenti che fanno clic sul link sono indirizzati a un clone della home page dell’OMS, con un modulo pop-up che richiede loro un indirizzo email e una password per ottenere l’accesso.
I criminali acquisiscono tutti i dati personali inseriti nel modulo, e successivamente il sito falso reindirizza la vittima al sito originale dell’OMS per evitare sospetti.
La pagina web in background è, in effetti, proprio la pagina dell’OMS, il che rende ancora più pericoloso questo attacco perché le vittime sono ignare del furto di dati subito.
L’OMS avvisa gli utenti internet
L’OMS è a conoscenza di questi cyber attacchi che tentano di sfruttare l’emergenza Coronavirus e sta mettendo in guardia gli utenti a cui chiede di:
- non fornire informazioni riservate, come nomi utente o password
- Evitare di fare clic su un collegamento dannoso
- non aprire allegati sospetti.
Questi cyber attacchi inizialmente hanno riguardato soprattutto la Cina e il Giappione. Adesso i ricercatori si aspettano che il traffico di posta elettronica malevola basata sul coronavirus cresca al diffondersi del virus espandendosi anche in alte aree geografiche.
Si parla già di un nuovo malware: il CoronaVP e si prevede il lancio di diversi siti Web falsi per vendere le tanto agognate mascherine ed altri dispositivi sanitari come gli ancor più ricercati gel antibatterici.
I consigli per difendersi dai cyber attacchi – i consigli dell’OMS
Utilizzando questo metodo, i black hat possono installare malware o rubare informazioni sensibili. Per questo l’OMS che ha diramato i seguenti suggerimenti per prevenire un attacco di phishing:
- Verifica il mittente controllando il suo indirizzo email.
Assicurati che il mittente abbia un indirizzo email come “person@who.int”.
Se esiste qualcosa di diverso da “who.int” dopo il simbolo “@”, questo mittente non proviene dall’OMS. L’OMS non invia e-mail da indirizzi che terminano con “@ who.com”, “@ who.org” o “@ who-safety.org”, ad esempio. - Controllare il collegamento prima di fare clic. Assicurati che il link inizi con “https://www.who.int”. Meglio ancora, vai direttamente al sito Web dell’OMS, digitando “https://www.who.int”.
- Prestare attenzione quando si forniscono informazioni personali. Considera sempre la motivazione per cui ti vengono richiesti dati sensibili.
Non c’è motivo per cui siano necessari il tuo nome utente e password per accedere alle informazioni pubbliche. - Non correre e non sentirti sotto pressione. I criminali informatici utilizzano emergenze come 2019-nCov per indurre le persone a prendere decisioni affrettate.
Prenditi sempre il tempo giusto per domandarti se sia necessario fornire i tuoi dati. - Se hai già fornito informazioni riservate, niente panico.
Basta cambiare immediatamente le tue credenziali su ciascun sito in cui siano già state utilizzate. - Se rilevi una truffa, segnalala.
