Gli attacchi via email sul coronavirus si evolvono con il diffondersi dell’epidemia

Una nuova ricerca della Tactical Defense Unit di F-Secure fa luce su come gli attacchi via email sul Coronavirus si siano diffusi insieme al virus.

I criminali informatici e altri attori delle minacce spesso cercano di trarre vantaggio dalle ultime notizie. Li aiuta a indurre gli utenti ignari a interagire con loro, ad esempio facendo click su un link malevolo in un’email. O aprendo un allegato malevolo.

Mentre le persone in tutto il mondo stanno iniziando a limitare i loro movimenti nella speranza di frenare la diffusione del Coronavirus, gli spammer e i phisher sono in piena attività. Vogliono approfittare della richiesta online di informazioni sulla pandemia.

F-Secure ha osservato come si stiano verificando sempre più attacchi a tema Coronavirus. Ecco alcuni dettagli su ciò che stanno facendo gli attaccanti, su cosa stare attenti e su come le persone possono proteggersi se stanno pianificando di affrontare la crisi lavorando da remoto.

Campagne malspam

La Tactical Defense Unit di F-Secure ha monitorato le campagne a tema coronavirus da gennaio. Le campagne degli attaccanti si sono ampiamente diffuse in nuove regioni parallelamente al virus. Karmina Aquino, responsabile del servizio nell’unità, ha notato che le email hanno seguito notizie e avvisi e raccolto correlazioni tra questi. Le prime campagne osservate hanno preso di mira i clienti in Giappone. Ma gli attacchi hanno continuato a spostarsi verso ovest. Gli esempi nella sequenza temporale di seguito mostrano come il contenuto dei messaggi di spam rispecchiava sviluppi reali relativi al virus (a volte entro 24 ore dagli sviluppi che appaiono nelle notizie).

“Sebbene l’utilizzo dei temi attuali non sia una novità per gli attori opportunisti delle minacce, ciò che è interessante notare qui è che uno spam malware dopo l’altro ha iniziato a utilizzare l’argomento coronavirus nelle email di distribuzione”, afferma Maria Patricia Revilla Dacuno, ricercatrice di F-Secure. “Ancora più interessante è l’uso di informazioni da notizie o avvisi pubblici come base per gli argomenti delle mail. Questo aiuta a conferire validità all’email stessa.”

Il malware che è stato impiegato in queste campagne comprende:

• Emotet e Trickbot – minacce modulari che distribuiscono payload diversi a target diversi. Emotet era originariamente un trojan bancario che è stato aggiornato/incrementato per includere nuove funzionalità, come infostealing e malware delivery. È noto per distribuire Trickbot, che quindi distribuisce Ryuk ransomware.
• Agent Tesla – un infostealer che ha capacità di keylogging per rubare credenziali email e password dai browser.

• Formbook – un infostealer che raccoglie dati sensibili della vittima, come password/credenziali dai browser.
• Lokibot – un infostealer che raccoglie credenziali email e password dai browser, client FTP e wallet CryptoCoin.
• Remcos RAT – un tool di accesso remote utilizzato dai cyber criminali che permette agli attaccanti di controllare il sistema della vittima da remoto, ed eseguire comandi.

Ecco le frasi più comunemente utilizzate nell’oggetto delle mail di spam a tema coronavirus:

Truffe sulle mascherine

Insieme alle email di spam cariche di malware, F-Secure ha osservato una quantità significativa di spam che sfrutta la diffusa carenza di mascherine. Secondo Patricia, queste email sono truffe comuni. Invitano i destinatari a pagare, ma i criminali non inviano loro nulla.

“Sembra semplice, ma questo è un buon esempio di ingegneria sociale. Le persone sono già sotto pressione per prendere precauzioni sul virus e questi annunci pubblicitari cercano di attirarli, proponendo una soluzione a portata di click”, spiega Patricia.

Ecco le frasi più comuni usate nell’oggetto delle mail per le truffe delle mascherine:

Ed ecco le frasi più comuni utilizzate nell’oggetto delle mail truffa sulle mascherine a tema coronavirus:

Restare al sicuro va oltre la prevenzione dello spam

La notizia non è del tutto negativa, almeno per quanto riguarda la sicurezza informatica. Le email di spam non sono una novità per i difensori. Non sono stati osservati nuovi metodi di kill-chain o tipi di malware. I riferimenti al Coronavirus hanno lo scopo di generare una percentuale di click più elevata per le campagne di attori delle minacce preesistenti. Quindi, finché gli utenti mantengono la calma e prestano attenzione prima di fare click, lo spam è un problema gestibile.

Molte aziende stanno rispondendo alla crisi richiedendo o obbligando i dipendenti a lavorare da remoto. Per alcune aziende e dipendenti, questo è un territorio sconosciuto, che potrebbe avere ripercussioni sulla sicurezza.

Le aziende dovrebbero garantire che le tecnologie di accesso remoto sicuro, come la VPN, siano implementate e configurate correttamente, compreso l’uso dell’autenticazione a più fattori, in modo che i dipendenti possano portare avanti il business in modo altrettanto sicuro come in ufficio. È anche importante che le aziende chiedano ai lavoratori di evitare l’uso di dispositivi personali non autorizzati per lavoro, poiché questi dispositivi sono raramente monitorati per le incursioni.