Le campagne malware legate al Coronavirus hanno raggiunto un volume di attacchi legati a un singolo tema praticamente mai visto e rilevato nella storia della cyber sicurezza. Questa l’analisi effettuata dai ricercatori di Proofpoint.
Proofpoint ha individuato nuovi attacchi lanciati dai gruppi di hacker TA505 e TA564, ben noti e prolifici, che hanno realizzato avanzate campagne mirate al settore sanitario, manifatturiero e farmaceutico e a servizi sanitari pubblici. In totale, i ricercatori hanno osservato attività di phishing per il furto di credenziali, invio di allegati e link pericolosi, attacchi di business email compromise (BEC), utilizzo di landing page fittizie, downloader, messaggi spam e malware, e tutti utilizzano il coronavirus come “esca” per gli utenti.
Alcuni esempi di attacchi includono:
- Un malware sconosciuto, Redline Stealer, che invita gli utenti a supportare la ricerca di una cura per COVID-19, partecipando a un progetto informatico dedicato. Lo stealer RedLine è in vendita sui forum “sotterranei” russi a partire da 100 dollari ed è stato aggiornato di recente anche per il furto di cold wallet di criptovalute (wallet ospitati su dispositivi che non possono connettersi a Internet).
- Email indirizzate a “genitori e tutori” che distribuiscono un malware, Ursnif, in grado di rubare informazioni personali, come le credenziali bancarie. Gli aggressori hanno utilizzato il nome vero dei destinatari per fingersi legittimi.
- Email mirate ad aziende sanitarie che offrono cure per il coronavirus in cambio di Bitcoin.
- False guide contenenti indicazioni di protezione per famiglia e amici che invitavano ad aprire un link pericoloso.
“Per più di cinque settimane il nostro team di ricerca sulle minacce ha osservato numerose campagne email pericolose legate a COVID-19. Molte approfittano della paura per tentare di convincere le potenziali vittime ad aprire un allegato o un link. I cyber criminali hanno inviato ondate di email – da dodici a oltre 200.000 alla volta – e il numero di campagne sta continuando ad aumentare. Inizialmente abbiamo assistito ogni giorno a una singola campagna a livello globale, ora ne stiamo osservando 3-4 al giorno. E’ un incremento sostanziale, che mette bene in chiaro quanto notizie globali del genere possano essere interessanti per i cybercriminali,” sottolinea Sherrod DeGrippo, Senior Director, Threat Research and Detection, Proofpoint.
“Gli strumenti che gli hacker utilizzano sfruttando il COVID-19 sono tecniche di ingegneria sociale su larga scala. I malintenzionati sanno che le persone cercano informazioni sulla sicurezza e sono quindi più propensi a cliccare su link potenzialmente pericolosi o a scaricare allegati. Circa il 70% delle email rilevato da Proofpoint include malware e un ulteriore 30% ha l’obiettivo di rubare le credenziali degli utenti. il malware e un ulteriore trenta per cento mira a rubare le credenziali della vittima. La maggior parte dei messaggi tenta di rubare le credenziali utilizzando pagine di destinazione fittizie come Gmail o Office 365 e richiede agli utenti di inserire i propri dati di accesso”.
Alcuni esempi di attacchi recenti sono disponibili a questi link:
RedLine Stealer: https://www.proofpoint.com/us/threat-insight/post/new-redline-stealer-distributed-using-coronavirus-themed-email-campaign
