Il nuovo Unicorn ransomware colpisce l'Italia tramite una falsa mappa di infezione COVID-19

Il nuovo Unicorn ransomware colpisce l'Italia tramite una falsa mappa di infezione COVID-19

Una nuova minaccia ransomware chiamata FuckUnicorn ha crittografato i computer in Italia inducendo le vittime a scaricare un'app di tracciamento dei contatti falsa che promette di apportare aggiornamenti in tempo reale per le infezioni COVID-19.

L'hacker ha usato un convincente espediente di ingegneria sociale che ha fatto sembrare che l'eseguibile malevolo fosse stato consegnato dalla Federazione Italiana Farmacisti (FOFI).

Potente ingegneria sociale

Lunedì, il Computer Emergency Response Team (CERT) dell'Agenzia per l'Italia digitale ( AgID ) ha pubblicato un avviso su una minaccia di ransomware indigena chiamata [F] Unicorn che si diffonde in tutto il paese.

Arriva sul sistema delle vittime sotto le spoglie dell'app di tracciamento dei contatti Immuni per dispositivi mobili, che il governo italiano ha annunciato che sarebbe stato rilasciato alla fine del mese.

CERT-AgID ha ricevuto un campione del malware dal ricercatore di sicurezza JamesWT_MHT e lo ha analizzato insieme alla tecnica di social engineering che inganna gli utenti nel download e nell'installazione del ransomware.

Gli utenti vengono attirati con un'e-mail in italiano che informa che è disponibile una versione beta di Immuni per PC per combattere la diffusione di COVID-19. Dal testo del messaggio, gli obiettivi sono farmacie, università, medici e altre entità che combattono il nuovo contagio del coronavirus.

L'attaccante ha anche clonato il sito Web FOFI e registrato un nome di dominio simile all'originale. Tuttavia, hanno usato "fofl.it", con una "L" minuscola come ultimo carattere che è facilmente confuso con la "i" minuscola utilizzata nel nome di dominio legittimo.

Un esempio di e-mail del consulente tecnico Dottor Marc mostra che il messaggio termina con collegamenti per il download e informazioni di contatto che combinano gli indirizzi e-mail dell'aggressore e della FOFI.

Quando viene eseguito, il malware mostra un pannello di controllo falso con informazioni COVID-19 presumibilmente dal Center for Systems Science and Engineering presso la Johns Hopkins University.

Mentre gli utenti stanno guardando la mappa, l'unicorno [F] inizia a crittografare i dati sul sistema. Secondo l'analisi pubblicata da CERT AgID, le scansioni malware / Desktop, / Collegamenti, / Contatti, / Documenti, / Download, / Immagini, / Musica, / OneDrive, / Giochi salvati, / Preferiti, / Ricerche e / Video per seguenti tipi di file:

".Txt, .jar, .exe, .dat, .contact, .settings, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, 
.png, .csv,. py, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .xml, .psd, .pdf, .dll, .c, 
.cs, .mp3, .mp4, .f3d, .dwg, .cpp, .zip, .rar, .mov, .rtf, .bmp, .mkv, .avi, .apk, .lnk, .iso, 
.7-zip, .ace, .arj, .bz2, .cab, .gzip, .lzh, .tar, .uue, .xz, .z, .001, .mpeg, .mp3, .mpg, .core, 
.crproj, .pdb, .ico, .pas , .db, .torrent "

I file crittografati con [F] Unicorn ottengono una nuova estensione come mostrato nell'immagine seguente:

Gli utenti apprendono che i loro file sono stati bloccati da una nota di riscatto scritta in italiano, che indica un autore italiano. A parte la stranezza del messaggio, la nota di riscatto chiede alle vittime di pagare 300 EUR in tre giorni o i dati andrebbero persi.

Viene fornito un indirizzo bitcoin insieme a un indirizzo e-mail per contattare l'attaccante con la prova del pagamento. Non ci sono fortunatamente ancora transazioni registrate per il portafoglio specificato.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.