Con l’intensificarsi della guerra in Ucraina era normale aspettarsi che gli sviluppatori di malware approfittassero dei tristi eventi globali del momento per condurre ogni sorta di attacco cyber.
Il post di MalwareHunterTeam che pone l’attenzione verso un campione ransomware dal nome poco originale ne è un esempio:
L’eseguibile per fortuna già riconosciuto da un certo numero di AV su VirusTotal sarebbe un binario compilato tramite “AutoIT”, un linguaggio di scripting sempre più utilizzato dagli sviluppatori di malware per la distribuzione di ransomware e RAT, grazie alla sua flessibilità, facilità d’uso e disponibilità del codice sul web per il suo riutilizzo.
E’ in questo calderone di rischi cyber correlati al conflitto che anche i ricercatori di Bitdefender Labs hanno intercettato numerose ondate di e-mail fraudolente e malevole che sfruttano per l’appunto la crisi umanitaria e lo spirito di beneficenza in tutto il mondo.
Le campagne malspam
La prima campagna individuata da Bitdefender tenterebbe di sfruttare problemi e carenze nelle catene di approvvigionamento.
La maggior parte delle e-mail di phishing (83%) in questa campagna secondo la telemetria proverrebbe principalmente dai Paesi Bassi, con obiettivi la Repubblica Ceca (14%), Corea del Sud (23%), Germania (10%) e Regno Unito (10%).
Prendendo di mira i produttori, con un allegato ZIP i messaggi invitano a compilare un sondaggio per aiutare lo sviluppo di piani di backup. In realtà l’archivio ZIP (REQ Supplier Survey) conterrebbe il RAT Agent Tesla già ampiamente utilizzato in varie campagne di phishing in passato.
Con una seconda campagna invece i truffatori proverebbero a rappresentare un’azienda sanitaria specializzata nella produzione di sistemi diagnostici.
L’89% di queste e-mail proveniente da indirizzi IP tedeschi, starebbe interessando target con sede in Irlanda (32%), India (17%) e Stati Uniti (7%).
Il messaggio affermando che tutti gli ordini sono stati sospesi a causa delle restrizioni sui voli e sulle spedizioni dall’Ucraina inviterebbe a leggere i maggiori dettagli contenuti in un documento Excel allegato (SUCT220002.xlsx), in realtà un file macro che secondo i ricercatori sfrutterebbe il bug tracciato come CVE-2017-11882 (Microsoft Office Equation Editor) per fornire Remcos RAT sui sistemi.
Le campagne con false donazioni
Bitdefender riporta anche diverse campagna con attori malintenzionati che impersonando il governo ucraino, l’UNICEF o l’Ucraina Crisis Relief Fund tentano di convincere gli utenti di essere i legittimi enti di beneficenza per sostenere l’Ucraina con donazioni.
Le e-mail giocano sulle emozioni degli utenti citando l’impatto sulle comunità in Ucraina e il numero crescente di rifugiati che stanno fuggendo dal paese e hanno un grande bisogno di forniture e alloggi.
Altri esempi di temi utilizzati come oggetto nelle e-mail truffa sarebbero:
• Stand with the people of Ukraine. Now accepting cryptocurrency donations. Bitcoin, Ethereum, and USDT
• Ukraine Humanitarian Donation
• Donate to Ukraine, Help save a life: Please read
• Urgent! Help Children in Ukraine
• Subject: Help Ukraine
Quali raccomandazioni
Come sempre, ma soprattutto in questo periodo critico e di incertezza che in ogni caso sta interessando anche il nostro paese, si raccomanda di:
- evitare di cliccare su link o di scaricare allegati di comunicazionei e-mail sospette;
- per le donazioni in Ucraina, prendere in considerazione sempre le fonti attendibili quali Croce Rossa e il governo ufficiale ucraino;
- proteggersi contro le e-mail di phishing e malspam con protezioni antivirus/antispam complete e affidabili.
Il rapporto Bitdefender si conclude con una iniziativa degna di nota:
“In risposta alla crisi militare e all’aumento dell’attività dei criminali informatici, Bitdefender e la direzione nazionale rumena per la sicurezza informatica (DNSC) offrono protezione gratuita della sicurezza informatica a qualsiasi cittadino, azienda o istituzione ucraina, per tutto il tempo necessario.”
