Il nuovo Unicorn ransomware colpisce l'Italia tramite una falsa mappa di infezione COVID-19
27 Maggio 2020 - Tempo di lettura: 10 minuti
Una nuova minaccia ransomware chiamata FuckUnicorn ha crittografato i computer in Italia inducendo le vittime a scaricare un'app di tracciamento dei contatti falsa che promette di apportare aggiornamenti in tempo reale per le infezioni COVID-19.
L'hacker ha usato un convincente espediente di ingegneria sociale che ha fatto sembrare che l'eseguibile malevolo fosse stato consegnato dalla Federazione Italiana Farmacisti (FOFI).
Potente ingegneria sociale
Lunedì, il Computer Emergency Response Team (CERT) dell'Agenzia per l'Italia digitale ( AgID ) ha pubblicato un avviso su una minaccia di ransomware indigena chiamata [F] Unicorn che si diffonde in tutto il paese.
Arriva sul sistema delle vittime sotto le spoglie dell'app di tracciamento dei contatti Immuni per dispositivi mobili, che il governo italiano ha annunciato che sarebbe stato rilasciato alla fine del mese.
CERT-AgID ha ricevuto un campione del malware dal ricercatore di sicurezza JamesWT_MHT e lo ha analizzato insieme alla tecnica di social engineering che inganna gli utenti nel download e nell'installazione del ransomware.
Gli utenti vengono attirati con un'e-mail in italiano che informa che è disponibile una versione beta di Immuni per PC per combattere la diffusione di COVID-19. Dal testo del messaggio, gli obiettivi sono farmacie, università, medici e altre entità che combattono il nuovo contagio del coronavirus.
L'attaccante ha anche clonato il sito Web FOFI e registrato un nome di dominio simile all'originale. Tuttavia, hanno usato "fofl.it", con una "L" minuscola come ultimo carattere che è facilmente confuso con la "i" minuscola utilizzata nel nome di dominio legittimo.
Un esempio di e-mail del consulente tecnico Dottor Marc mostra che il messaggio termina con collegamenti per il download e informazioni di contatto che combinano gli indirizzi e-mail dell'aggressore e della FOFI.
Quando viene eseguito, il malware mostra un pannello di controllo falso con informazioni COVID-19 presumibilmente dal Center for Systems Science and Engineering presso la Johns Hopkins University.
Mentre gli utenti stanno guardando la mappa, l'unicorno [F] inizia a crittografare i dati sul sistema. Secondo l'analisi pubblicata da CERT AgID, le scansioni malware / Desktop, / Collegamenti, / Contatti, / Documenti, / Download, / Immagini, / Musica, / OneDrive, / Giochi salvati, / Preferiti, / Ricerche e / Video per seguenti tipi di file:
".Txt, .jar, .exe, .dat, .contact, .settings, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg,
.png, .csv,. py, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .xml, .psd, .pdf, .dll, .c,
.cs, .mp3, .mp4, .f3d, .dwg, .cpp, .zip, .rar, .mov, .rtf, .bmp, .mkv, .avi, .apk, .lnk, .iso,
.7-zip, .ace, .arj, .bz2, .cab, .gzip, .lzh, .tar, .uue, .xz, .z, .001, .mpeg, .mp3, .mpg, .core,
.crproj, .pdb, .ico, .pas , .db, .torrent "I file crittografati con [F] Unicorn ottengono una nuova estensione come mostrato nell'immagine seguente:
Gli utenti apprendono che i loro file sono stati bloccati da una nota di riscatto scritta in italiano, che indica un autore italiano. A parte la stranezza del messaggio, la nota di riscatto chiede alle vittime di pagare 300 EUR in tre giorni o i dati andrebbero persi.
Viene fornito un indirizzo bitcoin insieme a un indirizzo e-mail per contattare l'attaccante con la prova del pagamento. Non ci sono fortunatamente ancora transazioni registrate per il portafoglio specificato.
