Coronavirus e hacker: non il tipo di Curriculum che stavate cercando

redazione

A maggio la CNN ha riferito che da quando la pandemia di coronavirus ha messo in attesa l’economia statunitense, più di 40 milioni di americani hanno chiesto per la prima volta il sussidio di disoccupazione. In realtà, 1 americano su 4 ha chiesto il sussidio di disoccupazione durante la pandemia – il valore più alto che il Paese abbia mai avuto nella sua storia, superando persino l’era della Grande Depressione degli anni Trenta.

 

In precedenza, Check Point Software Technologies ha riferito che, a causa degli alti tassi di disoccupazione, la gente è diventata una preda vulnerabile per le truffe e gli attacchi di phishing che sono collegati al tema degli aiuti economici. Ora ha scoperto che solo in maggio sono stati registrati 250 nuovi domini contenenti la parola “occupazione”. Il 7% di questi domini erano maligni e un altro 9% sospetti.

 

Sotto forma di moduli di congedo medico e CV

Abbiamo visto quindi un aumento delle campagne a tema Curriculum negli Stati Uniti, e il loro rapporto – su tutti i file dannosi individuati – è raddoppiato negli ultimi due mesi, con 1 file “CV” dannoso su 450.

 

Recentemente, abbiamo scoperto una campagna dannosa che utilizza il malware Zloader per rubare le credenziali delle vittime e altre informazioni private. Il malware Zloader è un trojan bancario e una variante del famigerato malware Zeus che si rivolge specificamente ai clienti degli istituti finanziari.

 

 

I file .xls dannosi con nomi che rimandano a curriculum vitae individuali sono stati inviati via e-mail con argomenti come “candidatura per un lavoro” o “per l’offerta di lavoro”. All’apertura del file allegato, alle vittime è stato chiesto di “abilitare il contenuto” (vedi immagine sotto) e quando l’hanno fatto, una macro malevola ha iniziato a girare, scaricando il carico utile finale. Una volta infettato un dispositivo, gli attori della minaccia potevano utilizzare il malware per effettuare transazioni finanziarie sul dispositivo.

 

In Italia, un nuovo ransomware chiamato FuckUnicorn ha preso di mira gli enti sanitari italiani attraverso email con link ad un’applicazione per PC relativa a COVID-19. I link indirizzano gli utenti verso un dominio maligno che imita il sito della Federazione Italiana Farmacisti. I ricercatori sospettano che gli attori dietro questo attacco siano italiani.

 

Nel Regno Unito e in Romania, alcune aziende hanno ricevuto un’e-mail che assomigliava a questa:

 

 

Le email sono arrivate con l’oggetto “CV dalla Cina” e contenevano un file ISO (CV.iso) che ha fatto cadere un file EXE dannoso (CV.exe) che avrebbe eseguito un malware per il furto di informazioni sulla macchina dell’utente.

 

Le campagne che utilizzano i CV come vettore di attacco non sono le uniche in atto. Abbiamo anche scoperto una campagna che utilizza i moduli permessi per malattia che ha consegnato il malware Icedid, un trojan bancario che ruba i dati finanziari degli utenti.

 

Documenti malevoli con nomi come “COVID -19 FLMA CENTER.doc” sono stati inviati via e-mail con soggetti come “Di seguito è riportato un nuovo Modulo di richiesta di congedo per i dipendenti all’interno del Family and Medical Leave Act (FMLA)”. Le e-mail sono state inviate da diversi domini mittenti come “medical-center.space” per attirare le vittime ad aprire gli allegati malevoli.

 

Una campagna simile ha consegnato Trickbot, un Trojan bancario dominante che viene costantemente aggiornato con nuove funzionalità, caratteristiche e vettori di distribuzione, permettendogli di essere abbastanza flessibile e personalizzabile da poter essere distribuito come parte di una campagna polivalente. In questa campagna viene adottato lo stesso tema FMLA, con l’invio di email da domini come “covid-agency.space”.

 

Gli attacchi malware generici aumentano man mano che le aziende e le organizzazioni riaprono

Mentre si è registrato un aumento del numero di attacchi legati ai coronavirus, nel complesso si è registrata una diminuzione del numero totale di attacchi. A marzo, quando la pandemia era al culmine, abbiamo assistito a una diminuzione del 30% degli attacchi malware rispetto a gennaio 2020. Questo perché molti Paesi sono andati in quarantena e la maggior parte delle aziende e delle altre organizzazioni sono state chiuse, riducendo notevolmente il numero potenziale di obiettivi per gli aggressori.

 

Ora che il mondo vede un po’ di sollievo dalla pandemia a seguito delle misure di quarantena, le cose hanno iniziato a migliorare e le aziende sono di nuovo in funzione e – indovinate un po’? – anche i criminali informatici stanno intensificando le loro attività dannose. A maggio abbiamo assistito a un aumento del 16% degli attacchi informatici rispetto al periodo tra marzo e aprile, quando il coronavirus era al suo apice.

Ciò è dovuto in gran parte all’aumento degli attacchi malware.

 

Continuano gli attacchi legati al Coronavirus

A maggio abbiamo assistito a una media di oltre 158.000 attacchi di coronavirus ogni settimana. Rispetto ad aprile, si tratta di una diminuzione del 7%.

 

 

Nuovi domini registrati di Coronavirus:

Nelle ultime 4 settimane sono stati registrati 10.704 nuovi domini legati al coronavirus. Il 2,5% di essi erano dannosi (256) e un altro 16% (1.744) sospetti.

 

 

Il grafico rappresenta i dati rilevati dalle tecnologie di prevenzione delle minacce di Check Point attraverso reti, endpoint e dispositivi mobili, memorizzati e analizzati in ThreatCloud, il database di intelligence sulle minacce più potente al mondo.

 

Rimanere protetti

Per rimanere protetti da questi attacchi opportunistici, ricordate queste regole d’oro:

  1. Attenzione a leggere bene il dominio per evitare di confondere domini simili, agli errori di ortografia nelle e-mail o nei siti web e ai mittenti di e-mail non familiari
  2. Siate prudenti con i file ricevuti via e-mail da mittenti sconosciuti, soprattutto se richiedono una certa azione che di solito non fareste.
  3. Assicuratevi di ordinare la merce da una fonte autentica. Un modo per farlo è quello di NON cliccare sui link promozionali nelle e-mail, e invece, Google il rivenditore desiderato e fare clic sul link dalla pagina dei risultati di Google.
  4. Attenzione alle offerte “speciali”. “Una cura esclusiva per il coronavirus a 150 dollari” non è di solito un’opportunità di acquisto affidabile o affidabile. In questo momento non esiste una cura per il coronavirus e anche se ci fosse, sicuramente non vi sarebbe offerta via e-mail.
  5. Assicuratevi di non riutilizzare le password tra le diverse applicazioni e i diversi account.

 

Inoltre, le organizzazioni dovrebbero prevenire gli attacchi zero-day con architettura cibernetica end-to-end, per bloccare i siti di phishing ingannevoli e fornire avvisi sul riutilizzo delle password in tempo reale. Check Point Infinity è efficace perché combina due ingredienti chiave: la piena convergenza su tutte le superfici di attacco e su tutti i vettori di attacco, e una prevenzione avanzata in grado di affrontare i più sofisticati attacchi di phishing zero-day e gli attacchi di takeover account.