Circolano finti pdf con consigli e precauzioni da adottare contro il contagio, che in realtà nascondono attacchi informatici per rubare dati sensibili
I cybercriminali stanno sfruttando la forte attenzione mediatica attorno al coronavirus, che nell’ultima settimana ha interessato anche l’Italia, come cavallo di Troia per diffondere malware. I ricercatori della società di sicurezza informatica Kaspersky e di Ibm X Force (la divisione di cybersecurity del gruppo) hanno individuato una campagna malevola che si nasconde dietro un falso documento di prevenzione dal virus, denominato Coronavirus Countermeasures.
La campagna ha rivisto Emotet protagonista degli attacchi. Si tratta di una delle più gravi minacce informatiche sulla scena. Ma circolano altri documenti malevoli simili. Uno lo ha scoperto la società italiana di cybersecurity Cybaze Yoroi ZLab. Si tratta di campagne di RemCos – Rat (Remote Access Tool), ossia uno strumento utilizzato da attori per ottenere accesso alla macchina vittima in remoto, nascosto sempre dietro un pdf con falsi consigli anti-coronavirus: CoronaVirusSafetyMeasures_pdf.
Come funziona l’attacco
Una volta scaricato nella macchina, il virus ne infetta le directory installando un file eseguibile in grado di sopravvivere al riavvio della macchina. Il malware memorizza le informazioni sensibili raccolte dal monitoraggio della pressione dei tasti dell’utente inviando il bottino al centro di comando e controllo remoto.
Marco Ramilli, fondatore e amministratore delegato di Yoroi, contattato da Wired consiglia: “È necessario ricordare agli utenti che ‘l’abito non fa il monaco’. Proprio così, nonostante l’icona di un file possa simboleggiare una determinata applicazione (Pdf, Excel, Word, etc) e l’estensione assomigliare a una estensione nota, è possibile che l’attaccante abbia appositamente modificato tali proprietà per trarre in inganno la vittima”.
Per non farsi cogliere alla sprovvista e cadere vittima di questi tranelli Ramilli consiglia di mantenere un alto livello di attenzione quando si ricevono o trattano comunicazioni che affermano di essere correlate al coronavirus e di abilitare la reale visualizzazione delle estensioni. Inoltre per verificare di non aver contratto un’infezione da Emotet, Wired consiglia l’uso dello strumento EmoCheck.
Leggi anche