Ufficialmente non è ancora uscita la App “Immuni”, ma gli hacker sono sempre in agguato. Attenti al messaggio che vi chiede di cliccare per scaricarla
Il mezzo più utilizzato dagli hacker per accedere ai nostri dati, è detto typosquatting. Consiste nell’utilizzare domini internet con nomi simili a quello che potrebbe interessarci, al fine di attirare click ed ingannare i clienti che credono di utilizzare il sito desiderato, mettendo invece in pericolo i propri dati.
Anche in fase di Covid-19, i truffatori da tastiera, ne utilizzano molti. Ultimo, proprio quello a nome Immuni, facilmente collegabile con l’App consigliata dal Governo.
Nelle scorse settimane è stata indetta una campagna malspam, con i criminali che, tramite l’uso di tecniche di ingegneria sociale sofisticate, hanno provato a mettere sotto tiro, farmacie, parafarmacie e soggetti coinvolti con la sanità. Tramite un sito falso infatti, veniva promessa la possiblità di scaricare una prima versione per PC dell’App Immuni. Veniva proposta tramite la scusante di un monitoraggio capillare da effettuare sul territorio.
Il file eseguibile in realtà nascondeva il payload del ransomware FUnicorn. Il dominio, presentava una piccola differenza con quello originale: www.fofi.it, sostituendo la “i” con la “l”, in modo da rendere difficile la possibilità di scovare la truffa, e credere di connettersi realmente con il sito della Federazione Farmacisti Italiani.
Scaricata quindi la falsa App e fatta partire, era possibile vedere una mappa di tracciamento della contaminazione territoriale del Coronavirus, naturalmente falsa anch’essa. La App invece, intanto faceva il suo lavoro, cifrando i file sul sistema del desktop del malcapitato, mostrando successivamente una relativa nota di riscatto.
In un file di testo “READ_IT.txt” infatti, appariva la richiesta di pagamento di euro 300, da versare in un conto bitcoin.
Secondo gli analisti di Cert-AgID, il malware, utilizza l’algoritmo, AES CBC capace di generare una password randomica, visibile poi in chiaro, insieme ad altre informazioni, con una centrale di comando C2 raggiungibile tramite un indirizzo web.
Per fortuna, gli esperti, si sono accorti dell’indirizzo web in tempo, per farlo rimuovere prima ancora che il conto bitcoin indicato, avesse potuto ricevere le prime transazioni. Così, quindi, la minaccia in questione si può dire già totalmente sventata, ma mette in guardia i lettori, per quanto riguarda le prossime, su base simile.
LEGGI ANCHE>>> WhatsApp, attacco hacker con virus che infetta con 1 sola chiamata
LEGGI ANCHE>>> Germania, hackerati dati sensibili di centinaia di politici
