Coronavirus, nuovo attacco spear phishing per rubare dati personali: i dettagli - Cyber Security 360

L'ANALISI TECNICA

Coronavirus, nuovo attacco spear phishing per rubare dati personali: i dettagli

Una nuova campagna di spear phishing a tema Covid-19/coronavirus sta diffondendo una variante del malware Lokibot specializzato nel furto di dati personali e informazioni riservate della vittima. Ecco tutti i dettagli tecnici e i consigli per proteggersi da questa minaccia

03 Apr 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore


È stata scoperta una nuova campagna spear phishing a tema Covid-19/coronavirus che utilizza illegittimamente ancora il marchio dell’OMS (Organizzazione Mondiale della Sanità), nel tentativo di convincere i destinatari della sua autenticità, per diffondere l’ennesima variante dell’infostealer Lokibot con l’obiettivo di rubare dati personali e informazioni riservate alle vittime.

Dal momento in cui questo malware è apparso in natura, diverse sue versioni sono state identificate, tutte varianti del codice sorgente originale. Anche le relative modalità di distribuzione sono state le più disparate: file ZIP, macro Microsoft Word/Excel, file RTF con exploit CVE-2017-11882 (Office Equation Editor), oltre al commercio underground nelle Darknet.

Spear phishing a tema coronavirus: i dettagli

La campagna di diffusione di seguito descritta, individuata per la prima volta lo scorso 27 marzo dai ricercatori di FortiGuard Labs, si è già diffusa rapidamente in varie parti del mondo, interessando ancora in forma poco marcata anche l’Italia che completa la lista dei primi 10 paesi colpiti dalla campagna di spear phishing:

  • Turchia (29%);
  • Portogallo (19%);
  • Germania (12%);
  • Austria (10%);
  • Stati Uniti (10%);
  • Belgio, Porto Rico, Italia, Canada e Spagna (<1%).

Analisi dell’e-mail di spear phishing a tema coronavirus

Il messaggio di posta elettronica diffuso in questa nuova campagna di spear phishing contiene l’oggetto Coronavirus disease (COVID-19) Important Communication[.] e un allegato apparentemente contenente informazioni extra sull’argomento, ma che in realtà rappresenta il vero vettore malevolo.

Il mittente

L’e-mail presenta sull’intestazione del mittente un alias che si riferisce al WHO Centers for Disease Control, che però dall’analisi completa degli header maschera in perfetto stile spoofing un dominio sospetto con indirizzo IP [159.69.16 [.] 177].

Il corpo del messaggio

Il messaggio, nel maldestro tentativo di invogliare il destinatario alla lettura, punta i riflettori sul problema della disinformazione al riguardo della pandemia di coronavirus, che sta prendendo piede e che intende contrastare con il documento guida in allegato, e passa in rassegna vari suggerimenti e raccomandazioni.

Come evidenziato dagli stessi analisti, uno sguardo più attento però mostra degli errori grammaticali e ortografici nell’inglese scritto e un grossolano errore sull’identità del firmatario e-mail che si riferisce al CDC (Centers for Disease Control) di Ginevra che nulla ha a che vedere con i rapporti tra l’OMS ed il CDC (Centers for Disease Control and Prevention) degli Stati Uniti.

L’allegato

WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

L’allegato e-mail è un file compresso con estensione .arj (Archived Robert Jung): si tratta di un formato di compressione insolito e probabilmente usato dagli attaccanti, come sospettano gli stessi ricercatori, nel tentativo di ingannare la vittima presentandole un formato diverso rispetto a quelli segnalati usualmente negli alert come sospetti.

La sua decompressione (ad esempio con il programma 7-zip) mostra la vera estensione del file eseguibile, anche se spacciata come .doc e .pdf. Di seguito i dettagli:

File compresso .arj

  • Nome: COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.zip.arj
  • SHA256: 9e17f5e70c30ead347b68841fa137015d713269add98f0257fb30cc6afdea4fe

File decompresso .exe

  • Nome: COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.pdf.exe
  • SHA256: f8e041bed93783bbd5966bfba6273fe7183464035ea54fe1d59ff85a679b3e3e

Una volta aperto l’allegato, la vittima designata viene infettata dall’infostealer Lokibot, implementato per carpire varie tipologie di credenziali (FTP, e-mail e browser, solo per citarne alcune) e inviarle ad un server di comando e controllo localizzato all’indirizzo hxxp: [.] // bslines xyz / Copia / cinque / fre.php.

Conclusioni

Per contrastare campagne di phishing, spear phishing e malspam in generale valgono delle raccomandazioni da seguire in sinergia da aziende e personale allo scopo di bloccare le minacce in modo proattivo e prima che raggiungano i target:

  • mantenere aggiornate definizioni e firme di antivirus e di ogni strumento di protezione utile in modo costante e sulla base degli aggiornamenti resi disponibili dagli stessi produttori;
  • adottare a livello aziendale un’adeguata valutazione del rischio anche nel caso non fosse possibile mettere in campo le dovute precauzioni per limiti tecnici e/o economici, puntando in ogni caso alla sensibilizzazione di tutto il personale tramite cicli formativi di security awareness;
  • eseguire tramite gli uffici di sicurezza preposti dei test di apprendimento con varie tecniche d’ingegneria sociale allo scopo di istruire all’individuazione e gestione diretta sul campo gli utenti finali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3