skip to Main Content

Cyber Security, le mappe del Coronavirus esca per diffondere malware

Cyber Security, Le Mappe Del Coronavirus Esca Per Diffondere Malware

di Pierguido Iezzi

Nuova campagna del cybercrime per diffondere malware, usando la pandemia del Coronavirus: l’esca sono le mappe del contagio

Nuovo attacco del cybercrime, che sfrutta l’esca del Coronavirus e la forte richiesta di informazioni a riguardo. Negli ultimi giorni si è registrata una campagna per diffondere malware che mira specificamente a colpire di mira coloro che sono alla ricerca di presentazioni cartografiche della diffusione del virus su Internet e li inganna per scaricare ed eseguire un’applicazione dannosa. Questa, sul suo front-end, mostra una mappa caricata da una fonte online legale, ma in background compromette il computer. La pandemia, infatti, è una leva molto efficace, in quanto è un tema di massimo interesse a livello globale. La disastrosa diffusione del SARS-COV-II (il virus) che causa il COVID-19 (la malattia), è diventata perciò un’opportunità per diffondere malware o lanciare attacchi informatici a ritmo ancora più sostenuto.

Gli attacchi cercano di veicolare una vecchia conoscenza, AZORult

Il malware usato per i nuovi attacchi leggi al Coronavirus è una vecchia conoscenza: AZORult, scoperto già nel 2016. Raccoglie informazioni memorizzate nei browser, in particolare cookie, cronologie di navigazione, ID utente, password e persino chiavi di crittovalute. Con questi dati estratti dai browser, i criminali informatici possono rubare numeri di carte di credito, credenziali di accesso e varie altre informazioni sensibili. AZORult è molto popolare nel Dark Web come strumento principe per la raccolta di dati sensibili dai computer. È dotato di una variante in grado di generare un account di amministratore nascosto nei computer infetti per consentire le connessioni tramite il protocollo RDP (Remote Desktop Protocol). 

Come si presenta l’esca dei criminal hacker: la mappa del contagio

Il malware è solitamente nascosto in un programma denominato Corona-virus-Map.com.exe. E’ un piccolo file Win32 EXE con una dimensione di soli 3 MB. Facendo doppio clic sul file si apre una finestra che mostra varie informazioni sulla diffusione di COVID-19. Il fulcro è una “mappa delle infezioni” simile a quella ospitata dalla Johns Hopkins University, una fonte online legittima per visualizzare e tracciare i casi di coronavirus segnalati in tempo reale. Il numero di casi confermati in diversi Paesi è presentato sul lato sinistro, mentre le statistiche sui decessi e sulle guarigioni sono a destra. La finestra appare interattiva, con schede per varie altre informazioni correlate e link alle fonti. Presenta un’interfaccia grafica convincente che non molti sospetterebbero essere dannosa. Le informazioni presentate non sono un’amalgama di dati casuali, ma sono informazioni inerenti al Coronavirus reali, raccolte, appunto, dal sito web della Johns Hopkins.

Come opera il malware legato al COVID-19

L’esecuzione del Corona-virus-Map.com.exe porta alla creazione di duplicati del file Corona-virus-Map.com.exe e di più file Corona.exe, Bin.exe, Build.exe e Windows.Globalization.Fontgroups.exe. Inoltre, il malware modifica una manciata di registri sotto ZoneMap e LanguageList e crea diversi mutex (procedimento di sincronizzazione fra processi o thread concorrenti, con il quale si impedisce che più task paralleli accedano contemporaneamente ai dati in memoria). Windows.Globalization.Fontgroups.exe e Corona-virus-Map.com.exe tentano di connettersi a diversi URL. Essi creano diverse attività di comunicazione in rete, perché il malware cerca di raccogliere diversi tipi di informazioni. È stato anche osservato un caricamento statico delle API associate a nss3.dll. Queste API sembravano facilitare la decodifica delle password salvate e la generazione di dati di output.

Obiettivo del cybercrime: rubare informazioni alle vittime via phishing

L’approccio usato dai criminal hacker è relativamente semplice. Cattura solo i dati di login dal browser web infetto e li sposta nella cartella C:\Windows\Temp. È uno dei segni distintivi di un attacco AZORult, in cui il malware estrae i dati, genera un ID univoco del computer infetto, applica la crittografia XOR, quindi avvia la comunicazione C2. Da sottolineare che l’esecuzione del codice malevolo è l’unico passo necessario per procedere con i processi di furto di informazioni. Le vittime non hanno bisogno di interagire con la finestra o inserire informazioni sensibili in essa contenute. Il vettore d’infezione, come in moltissimi casi di questi tipo, è il phishing.

Back To Top