sabato 2 maggio 2020

Trend Micro, campagna ransomware sfrutta Covid-19: come operare


Mentre l'epidemia di coronavirus continua a diffondersi, gli hacker usano gli affari correnti come esca per attirare le vittime, come informazioni false sulla prevenzione dell'epidemia o attacchi di phishing che affermano di fornire mascherine e altri materiali. Tuttavia, ci sono anche hacker che usano il panico del pubblico come mezzo per trarre profitto. Recentemente Trend Micro ha scoperto un virus informatico della polmonite di Wuhan. Questo coronavirus digitale può arrivare tramite un download Web dannoso, un allegato e-mail o distribuito utilizzando i comandi macro di Microsoft Office.

La menzione degli eventi attuali per attacchi dannosi non è una novità per gli attori delle minacce, che usano di volta in volta la tempestività di argomenti, occasioni e personalità popolari nelle loro strategie di ingegneria sociale. Trend Micro Research ha recentemente analizzato un malware a tema COVID-19 che sovrascrive il Master Boot Record (MBR) con il proprio codice, rendendo il computer inutilizzabile. Il malware è stato dettagliato in un rapporto pubblicato dall'agenzia ceca di sicurezza informatica (NUKIB). Il file malware ha "Coronavirus Installer" nella descrizione. Quando viene eseguito, il ransomware riavvierà automaticamente la macchina e quindi visualizzerà una finestra di dialogo con l'immagine del coronavirus che non potrà essere chiusa.

Il solito pulsante di uscita nella parte in alto a destra della finestra non funziona. Facendo clic sul pulsante “Guida” in basso a sinistra verrà visualizzato un messaggio pop-up che informa che l’utente non può avviare Task Manager. Il pulsante "Rimuovi virus" in basso a destra sembra offrire una soluzione, ma è disattivato e non selezionabile. Il pulsante rimane non cliccabile anche quando è collegato a Internet. Il malware crea anche una cartella nascosta denominata "COVID-19", che contiene diversi moduli secondari. Il malware esegue il backup dell'MBR originale e inserisce il testo "Creato da Angel Castillo. Il computer è stato spazzato via" sullo schermo del dispositivo. Lascia inoltre le informazioni di contatto dell'account Discord dell'hacker.

In altre parole, se la vittima vuole ripristinare il computer alla normalità, deve contattare l'hacker tramite questo canale. Il ransomware in genere fornisce ai malcapitati dettagli sul trasferimento dei fondi, con un importo specifico e un portafoglio di criptovaluta su cui la vittima deve depositare il denaro. Tuttavia, recenti studi di casi analoghi hanno dimostrato che molti distributori di malware hanno deciso di utilizzare il software di messaggistica istantanea Discord per fornire istruzioni specifiche ai malcapitati. Trend Micro ha sottolineato che gli hacker che hanno creato questo malware hanno scelto di utilizzare un processo di attacco piuttosto complicato, come il backup prima di cancellare l'MBR, piuttosto che la rimozione diretta utilizzata da molti altri malware.

Questa strategia è anche simile agli attuali attacchi ransomware crittografati: eseguiranno un backup prima di eseguire operazioni di sabotaggio e quindi potranno utilizzarli per minacciare le vittime di pagare. Inoltre, il malware richiederà che il computer sia connesso a Internet durante l'attacco. I ricercatori hanno affermato che in un ambiente offline l'MBR non è stato manomesso, quindi il giudizio è che il computer della vittima deve essere online perchè l'MBR possa essere sovrascritto. Per evitare di essere colpiti da questo malware innanzitutto utilizzare un programma antivirus in grado di rilevarlo e arrestarlo prima che infetti il ​​PC. Inoltre prestare attenzione agli allegati e-mail e ai documenti Office. Per maggiori informazioni consultare il blog post di Trend Micro.



Via: IT Home

Nessun commento:

Posta un commento