skip to Main Content

Cybercrime, MuddyWater sfrutta il Coronavirus per diffondere BlackWater

Cybercrime, MuddyWater Sfrutta Il Coronavirus Per Diffondere BlackWater

MalwareHunterTeam scopre una nuova campagna del cybercrime per veicolare il malware BlackWater sfruttando il Coronavirus. Questo si collega al C2 con su Cloudflare Workers per evitare i controlli

Nuova campagna del cybercrime per diffondere malware con l’esca del Coronavirus. L’hanno scoperta i ricercatori di cyber security di MalwareHunterTeam. Il codice malevolo si chiama BlackWater e viene veicolato attraverso il phishing via mail come un allegato. Il nome è RAR “Important – COVID-19.rar”. Una volta estratto, viene mostrato un l’eseguibile chiamato“Important – COIVD-18.docx.exe”, con una icona di Word. Se lanciato, apre un documento che riporta informazioni sul COVID-19. Ma, mentre la vittima è impegnata a leggere il documento, provvede a rilasciare ed eseguire un ulteriore binario denominato sqltuner.exe. Questo, per ricevere istruzioni, si collega al server di Comando e Controllo (C2) su Cloudflare Workers. Ciò è dovuto probabilmente alla possibilità bypassare il rilevamento da parte dei sistemi di sicurezza.

Gli esperti di cyber security: La campagna è doppiamente pericolosa. Fa leva sul panico per il COVID-19 e sul fatto che la maggior parte degli utenti non imposta la visualizzazione delle estensione dei file. Si pensa che dietro possa esserci l’APT MuddyWater, che ha già usato BlackWater in passato

Questa nuova campagna del cybercrime sul Coronavirus è doppiamente pericolosa. Innanzitutto fa leva sul panico in relazione alla pandemia, che si traduce nella ricerca costante di nuove informazioni sul COVID-19 da parte delle persone. Inoltre, come ricordano gli esperti di cyber security del CERT-PA, sfrutta una prassi comune: e cioè il fatto che la maggior parte degli utenti di default non imposta la visualizzazione delle estensione dei file. Di conseguenza, c’è un’elevata possibilità che le potenziali vittime scambino il file eseguibile malevolo per un documento docx legittimo. BlackWater, peraltro, è un malware di tipo backdoor e potrebbe essere associato all’APT MuddyWater. Il gruppo, infatti, già l’anno scorso ha usato il codice malevolo per colpire obiettivi in diversi paesi, come scoprirono i ricercatori di Cisco Talos.

Back To Top