Il malware Coronavirus sfrutta i timori globali di COVID-19 per infettare i dispositivi e rubare dati

Dublino, Irlanda, 20 marzo 2020 - Mentre il Coronavirus continua a diffondersi rapidamente, gli utenti di Internet hanno paura di entrare in contatto con il virus e sono ansiosi di avere maggiori informazioni sull'epidemia di coronavirus. I criminali informatici stanno sfruttando la pandemia di coronavirus (COVID-19) e stanno predando le paure delle persone vulnerabili per diffondere malware. Numerosi attacchi informatici e varietà di malware a tema dopo COVID-19 hanno attraversato diverse parti del mondo negli ultimi giorni.

Si ritiene che una minaccia persistente avanzata (APT) sia alla base dell'attacco mirato di marzo 2020 soprannominato "Vicious Panda" che stava diffondendo anche malware coronavirus. L'attacco "Panda vizioso" ha utilizzato e-mail di phishing mirate alle istituzioni governative mongole. Le e-mail venivano fornite con allegati di file RTF che presumibilmente contenevano informazioni importanti sul coronavirus. Il payload contenuto negli allegati RTF dannosi era una versione dello strumento malware RoyalRoad. Spesso associato agli attori cinesi delle minacce, lo strumento fa uso delle vulnerabilità dell'editor di equazioni in MS Word.

Il malware coronavirus ha assunto molte forme diverse in un breve lasso di tempo. A metà marzo 2020, un nuovo ceppo di ransomware è apparso in natura, chiamato CoronaVi2020. Distribuito principalmente tramite e-mail di spam e allegati dannosi, il ransomware CoronaVi2020 richiede un riscatto relativamente modesto di 0,008 BTC (circa 50 USD) e sembra indirizzare gli utenti domestici normali anziché le società e le istituzioni governative. Il ransomware influisce sui tipi di file più comuni, tra cui immagini, database e file di Office, con il ransomware che aggiunge l'e-mail dell'autore - coronaVi2022 [at] protonmail [punto] ch - davanti ai file interessati.

Anche il ransomware di Coronavirus è stato individuato in bundle con il trojan Kpot del ladro di informazioni. Un sito dannoso distribuiva un eseguibile chiamato WSHSetup.exe che era effettivamente un pacchetto che trasportava sia il ransomware coronavirus che il Trojan Kpot. Kpot è in grado di raccogliere informazioni sull'account da diversi browser Web, account e-mail, portafogli di criptovaluta e client di distribuzione di giochi.

Insieme al ransomware desktop CoronaVi2022, i telefoni sono stati colpiti da un'app dannosa che si pone come un tracker coronavirus. Il malware mobile ha funzionato più o meno come un ransomware, bloccando il telefono e chiedendo $ 250 in riscatto. Per fortuna, il ransomware mobile è stato un lavoro affrettato nonostante i suoi messaggi molto minacciosi per la vittima. I ricercatori della sicurezza sono stati in grado di trovare una chiave universale codificata nell'armadietto stesso. Chiunque abbia ottenuto il ransomware tracker coronavirus mobile può sbloccare il proprio telefono utilizzando il codice "4865083501". La scoperta è stata fatta dal team di ricerca sulla sicurezza di DomainTools.

L'improvviso picco nel malware di coronavirus ha reso ancora più attuali alcune minacce più vecchie. Il ladro di informazioni AZORult, che ha debuttato nel 2016, ha fatto di nuovo notizia, dopo essere stato utilizzato in una falsa mappa online di monitoraggio dell'infezione e della mortalità COVID-19. La vera mappa è gestita dal centro scientifico e ingegneristico della Johns Hopkins University ed è ospitata su un dominio completamente diverso. Il sito dannoso che ospita la falsa mappa ha copiato perfettamente il suo stile visivo ma ha anche distribuito un payload chiamato "corona.exe" che contiene AZORult e gratta i sistemi delle vittime per i portafogli di criptovaluta e gli account Steam, tra gli altri. Il dominio che ha ospitato la mappa online dannosa è stato rimosso.

Il modo migliore per gli utenti domestici di stare al sicuro e proteggere i propri sistemi dal malware coronavirus è scaricare solo file da siti attendibili, non fare mai clic su collegamenti non richiesti e ricontrollare la barra degli indirizzi del proprio browser per vedere se l'URL è stato digitato correttamente e indica a quello che si aspettano.

Con i casi reali di COVID-19 che iniziano a crescere esponenzialmente in un numero di nuovi paesi, gli utenti di computer dovrebbero aspettarsi che gli hacker continuino a trarre vantaggio da questa crisi sanitaria globale.

Informazioni su EnigmaSoft Limited

EnigmaSoft Limited è una società privata irlandese con uffici e sedi globali a Dublino, in Irlanda. EnigmaSoft è noto soprattutto per lo sviluppo e la distribuzione di SpyHunter, un prodotto e servizio software anti-malware. Rileva SpyHunter e rimuove il malware, migliora la privacy su Internet, e le minacce alla sicurezza elimina - che affrontano temi quali malware, ransomware, trojan, anti-spyware e altre minacce alla sicurezza dannosi che colpiscono milioni di utenti di PC sul web.