A Brief History of COVID-19 Related Attacks, Pt. 1

Mentre il mondo è alla prese con quarantene volontarie, isolamento obbligatorio, distanziamento sociale e inviti a restare a casa, i cibercriminali sono impegnati a mettere a punto malware e altri ciberattacchi che sfruttano i timori relativi all’epidemia di nuovo coronavirus (COVID-19).

“Ora più mai, il pubblico ha bisogno di essere più consapevole di che cosa fa online, in particolare quando si tratta di aprire collegamenti e messaggi di posta elettronica,” ha dichiarato a The Sun il vicepresidente di SonicWall Terry Greer-King. “I cibercriminali si impegnano al massimo per approfittare dei momenti difficili inducendo gli utenti ad aprire file pericolosi, attraverso quelle che essi ritengono fonti affidabili.”

I ricercatori delle minacce di SonicWall Capture Labs, che indagano e analizzano costantemente tutte le minacce, hanno individuato i principali ciberattacchi che sfruttano coronavirus e COVID-19 per trarre vantaggio dal comportamento umano.

File archivio dannoso: 5 febbraio 2020

All’inizio di febbraio, grazie alla tecnologia Real-Time Deep Memory Inspection (RTDMITM) in attesa di brevetto, SonicWall Capture Labs ha scoperto un file archivio contenente un eseguibile denominato CoronaVirus_Safety_Measures.exe. L’archivio viene trasmesso alla macchina della vittima sotto forma di allegato a un messaggio di posta elettronica.

Dopo aver analizzato il file eseguibile, SonicWall ha riscontrato che il file appartiene alla famiglia GOZ InfoStealer, che era già stata rilevata da SonicWall RTDMI™ a novembre del 2019.

Si sa che la famiglia GOZ InfoStealer sottrae i dati degli utenti da applicazioni installate, unitamente alle informazioni sul sistema della vittima, che vengono poi trasmesse all’autore della minaccia tramite protocollo Simple Mail Transfer Protocol (SMTP).

L’autore delle minacce aggiorna costantemente il codice del malware e ne modifica la catena di diffusione. I particolari su questa analisi sono disponibili in questo SonicAlert: “Threat Actors Are Misusing Coronavirus Scare To Spread Malicious Executable.”

RAT Android a tema coronavirus: 26 febbraio 2020

I ricercatori di SonicWall Capture Labs hanno individuato una tattica basata sulla paura del coronavirus che viene utilizzata nell’ecosistema Android sotto forma di Remote Access Trojan (RAT), una apk Android che va semplicemente sotto il nome di coronavirus.

Una volta installato ed eseguito, questo codice campione chiede alla vittima di reinserire il pin/il reticolato del dispositivo e lo sottrae richiedendo ripetutamente funzioni di “accessibility service”.

Quando viene visualizzata la struttura del codice (vedere sotto), appare chiaro che nel campione vengono utilizzate alcune forme di packing/codifica. I nomi delle classi appaiono casuali, ma hanno una struttura intrinseca; la maggior parte dei nomi delle classi ha lunghezza simile ed è ugualmente casuale.

Verificando i file Manifest.xml, appare che la maggior parte delle attività elencate non è disponibile nel codice decompilato. Ciò indica che i file della classe “real” vengono decriptati al momento dell’esecuzione. Si tratta di un meccanismo che rende difficile per gli strumenti automatizzati analizzare il codice e pronunciare un verdetto.

I particolari su questa analisi sono disponibili in questo SonicAlert: “Coronavirus-themed Android RAT on the Prowl.”

SonicWall Capture Labs protegge da queste minacce con le seguenti segnature:

  • AndroidOS.Spyware.RT (Trojan)
  • AndroidOS.Spyware.DE (Trojan)

Hoax Scareware COVID-19: 13 marzo 2020

I ricercatori delle minacce di SonicWall Capture Labs hanno individuato un malware che sfrutta i timori del coronavirus (COVID-19), detto anche “scareware”.  Il campione si pone come un ransomware e visualizza una nota di riscatto (vedere sotto). In realtà, tuttavia, non crittografa alcun file.

Per spaventare la vittima, vengono visualizzati diversi avvertimenti di sicurezza:

In ultima analisi, il malware è benigno e spera che la paura e il comportamento umano costringano le vittime a pagare il riscatto. I particolari su questa analisi sono disponibili in questo SonicAlert: “COVID-19 Hoax Scareware.”

SonicWall Capture Labs protegge da questa minaccia con la seguente segnatura:

  • GAV: Scareware.CoVid_A (Trojan)

RAT Android diffuso da una “campagna di marketing” ingannevole: 14 marzo 2020

I ricercatori delle minacce di SonicWall Capture Labs hanno scoperto e analizzato siti web di campagne ingannevoli che attualmente (al momento della pubblicazione) diffondono un Remote Access Trojan (RAT) per Android che appartiene alla stessa famiglia scoperta a febbraio del 2020 (vedere sotto).

I cibercriminali aprono siti web che diffondono disinformazione sul coronavirus (COVID-19), che propongono metodi ingannevoli per sconfiggere il nuovo virus. Si tratta invece di siti che attirano le vittime attraverso collegamenti di download.

SonicWall ha scoperto due varianti principali di questa strategia, una in inglese e l’altra in turco. Entrambe diffondono la apk denominata corona.apk quando la vittima fa clic sull’immagine di Google Play.

Scaricando il file apk ed esaminando il codice, SonicWall ha riscontrato una struttura simile alla variante descritta a febbraio. Questo campione è un Remote Access Trojan (RAT) per Android in grado di eseguire numerose operazioni dannose, tra cui:

  • Acquisire informazioni sul dispositivo
  • Acquisire un elenco delle applicazioni installate
  • Consentire il controllo a distanza del dispositivo tramite TeamViewer
  • Sottrarre password Gmail e/o reticolati di blocco
  • Keylogger
  • Caricare file
  • Sottrarre messaggi SMS e contatti
  • Disabilitare Play Protect

Ci sono molta disinformazione e molti timori attorno al coronavirus (COVID-19). SonicWall Capture Labs ribadisce che non vi sono applicazioni mobili in grado di tracciare i contagi da coronavirus né di indicare un vaccino. Procedere con estrema cautela.

I particolari su questa analisi sono disponibili in questo SonicAlert: “Misinformation Related to Coronavirus Being Used to Propagate Malicious Android RAT.”

SonicWall Capture Labs provides protection against this threat with the following signatures:

  • AndroidOS.Spyware.RT (Trojan)
  • AndroidOS.Spyware.DE (Trojan)

Azorult.Rk a 12 livelli: 16 marzo 2020

I ricercatori di SonicWall Capture Labs hanno individuato un nuovo campione e una nuova attività di Azorult.Rk binario “coronavirus”. Gli autori del malware hanno sfruttato il desiderio del pubblico di acquisire informazioni sulla pandemia di COVID-19, un desiderio che, da quando è iniziata a dicembre del 2019, è andato sempre crescendo.

Azorult.Rk finge di essere un’applicazione che fornisce supporto diagnostico, comprensivo anche della cattura di schermo di un diffuso strumento interattivo che mappa i casi e l’esposizione del COVID-19. Il malware comprende 12 diversi livelli di informazioni statiche e dinamiche, che rendono difficile per gli analisti delle minacce svolgere una rapida indagine. Questa analisi specifica è un importante punto di riferimento per illustrare come gli autori del malware nascondano le loro intenzioni e le loro tattiche.

Dopo aver esaminato i diversi livelli, SonicWall ha riscontrato che in ultima analisi il malware cercava di trasmettere dati statistici e metrici dell’hardware della macchina fisica, oltre ai nomi degli utenti, ai nomi host e a molte altre informazioni.

I particolari su questa analisi sono disponibili in questo SonicAlert: “Coronavirus, COVID-19 & Azorult.Rk.”

SonicWall Capture Labs protegge da questa minaccia con la seguente segnatura:

  • GAV: Azorult.RK

Ransomware coronavirus: 19 marzo 2020

I ricercatori di SonicWall Capture Labs hanno individuato una nuova minaccia ransomware che sfrutta i timori per il coronavirus.  Il ransomware crittografa e comprime i file e gli cambia nome in ‘coronaVi2022@protonmail.ch__<nome del file>’. Quindi cambia il nome dell’unità in coronavirus e memorizza il file coronavirus.txt in tutte le cartelle del sistema infettato.

Dopo aver modificato le chiavi di registro, aggiunge nuove chiavi e visualizza agli utenti il seguente messaggio di riscatto:

Dopo 20 minuti riavvia la macchina della vittima e visualizza un’altra nota di riscatto.

I particolari su questa analisi sono disponibili in questo SonicAlert: “Coronavirus Ransomware.”

SonicWall Capture Labs protegge da questa minaccia con le seguenti segnature:

  • GAV: CoronaVirus.RSM_2
  • GAV : CoronaVirus.RSM

Soluzioni VPN per il telelavoro

Per consentire alle organizzazioni di adottare la tecnologia VPN con un valido rapporto costi-benefìci per i dipendenti che utilizzano in misura sempre crescente il telelavoro, SonicWall sta rendendo disponibili prodotti e servizi d’accesso ai clienti nuovi e a quelli esistenti a prezzi fortemente scontati. Stiamo inoltre fornendo soluzioni di sicurezza critiche sotto forma di pacchetto per i nuovi clienti aziendali e delle PMI.

Questa offerta speciale mette a disposizione gratuitamente apparecchiature virtuali Secure Mobile Access (SMA) dimensionate per le aziende e le PMI, e prevede anche considerevoli sconti sulla protezione degli endpoint Cloud App Security e Capture Client in abbinamento a SMA.

I pacchetti sono stati configurati in modo da contenere tutto ciò che è necessario per proteggere chi lavora fuori dalla rete:

This post is also available in: Inglese Francese Tedesco Spagnolo

Dmitriy Ayrapetov on Twitter
Dmitriy Ayrapetov
Vice President, Platform Architecture | SonicWall
Dmitriy Ayrapetov is VP of Platform Architecture at SonicWall working to solve cybersecurity issues facing organizations around the world by helping to guide product development at SonicWall to tackle these growing problems. Dmitriy is also working on bringing SonicWall’s Real Time Deep Memory Inspection threat detection technology to broader markets. Prior to this position, Dmitriy held engineering roles and product management leadership roles at SonicWall. Before SonicWall, Dmitriy worked as a software engineer at several startups, one of which was acquired by SonicWall in 2005. As a cybersecurity expert, he speaks at industry conferences including RSA, Gartner Security Summit and is a regular voice with analysts, the press and SonicWall’s channel partners. Dmitriy holds an MBA from the Haas School of Business at U.C. Berkeley and a BA in Cognitive Science at U.C. Berkeley.
0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento