La Polizia postale e delle comunicazioni ha segnalato la scoperta di un sito web che pubblicizza un falso prodotto chiamato “Corona Antivirus”, presentandola come un’app sviluppata da ricercatori di Harvard che promette di garantire una protezione dal contagio consentendo all’utente di essere “alcuni passi avanti” rispetto al temuto COVID-19.
In realtà, la app contiene il RAT BlackNET, un trojan che rende il dispositivo parte di una botnet. In questo modo, il cybercriminale può controllare da remoto il dispositivo anche all’insaputa del proprietario. Utilizzando un termine caro ai fan di Romero, il dispositivo è “zombificato” e dunque può essere utilizzato per infettare altri dispositivi e per svolgere, nel pieno stile dell’orda di zombie, attacchi di tipo DDoS andando a compromettere il funzionamento di un sistema informatico attraverso la saturazione della banda di comunicazione. È evidente che in un periodo di emergenza come quello che stiamo vivendo, il funzionamento di taluni siti web, portali o risorse è diventato di particolare valore se non addirittura essenziale, e dunque un attacco di questo genere deve essere considerato una minaccia molto più probabile.
Le ulteriori features di BlackNET consentono al cybercriminale inoltre di acquisire screenshot, rubare dati di navigazione e password salvate, nonché installare un keylogger per intercettare tutte le operazioni svolte tramite la tastiera e dunque poter raccogliere dati e informazioni anche di carattere sensibile. Inoltre, è possibile per l’amministratore remoto eseguire script (potendo così ad esempio aprire backdoor, installare ulteriori programmi o propagare l’infezione) e svuotare i wallet di Bitcoin.
Come abbiamo più volte segnalato, un approccio prudente e critico salva i propri dispositivi, dati e portafogli (più o meno virtuali).
Al momento il sito è stato oscurato, ma risultano attivati una serie di domini che contengono il nome covid-19, corona o combinazioni per trarre in inganno i navigatori e perpetrare azioni di cybercrime.
Domaintools ha rilevato una crescita della registrazione di domini “rischiosi”: da circa 3.000 nei primi giorni di marzo a oltre 57.000 nell’ultima settimana. Ha così scelto di pubblicare una lista dei domini “ad alto rischio” a tema Coronavirus, quotidianamente aggiornata. La lista contiene il nome del dominio, la data di creazione e l’attribuzione di un rating di rischio. Il punteggio di rischio è segnalato se superiore a 70, ed è basato su algoritmi che analizzano la probabilità che un determinato dominio possa essere una minaccia svolgendo due differenti analisi e combinandone i risultati. La prima riguarda la prossimità ed il collegamento ad altri domini già noti ed impiegati per attacchi informatici, e la seconda valuta il profilo di minaccia da un’analisi delle proprietà intrinseche del dominio e del suo impiego per campagne di spam, phishing o diffusione di malware.
Grazie a questa lista è possibile bloccare preventivamente l’accesso a tali domini e la ricezione di comunicazioni da parte di alias riconducibili, oltre che informare in modo più specifico gli operatori soprattutto in questo periodo di telelavoro e smart working.
