SecurityOpenLab

Ecco la versione desktop di Immuni. No, è un ransomware

Il nuovo ransomware "[F]Unicorn" impersonifica l'app di contact tracing Immuni. È probabile che le app di contact tracing diventino la prossima esca per la diffusione di malware.

Un nuovo ransomware battezzato "[F]Unicorn" impersonifica l'app di contact tracing italiana Immuni. Il primo avvistamento è di questa settimana, e secondo il ricercatore per la sicurezza che l'ha segnalato al CERT, questa nuova famiglia di malware è stata appositamente creata per approfittare del lancio di Immuni.

Debutto che, per la cronaca, non è ancora avvenuto. I test partiranno venerdì in Liguria, Abruzzo e Puglia. In assenza di intoppi, e previa approvazione del Garante per la privacy, il lancio a livello nazionale si terrà entro la metà di giugno.

I cyber criminali però si sono portati avanti e hanno realizzato una trappola per chi fosse interessato a visionare una fantomatica versione beta dell'app. [F]Unicorn, acronimo di Funckunicorn, è stato avvistato dal ricercatore di sicurezza JamesWT_MHT, che ha pubblicato un esplicativo tweet.
immuni ransomware
In buona sostanza, una mail di phishing in lingua inglese invita gli utenti a scaricare la prima versione per PC di Immuni, che sarebbe realizzata solo per gli operatori del settore: farmacie, università, medici e personale coinvolto nella gestione dell'emergenza sanitaria.

Per rendere l'esca più allettante, il file da scaricare millanta di trovarsi sul sito della Federazione Farmaceutica Italiana (FOFI). Peccato che il sito sia solo un sosia creato il 3 maggio 2020. Il file che viene scaricato include un eseguibile dannoso

Chi apre la falsa applicazione vedrà un'interfaccia con presunte informazioni sul COVID-19 raccolte dal Center for Systems Science and Engineering della Johns Hopkins University. In realtà quello che accade (e che l'utente non vede) è che il malware viene eseguito in background, crittografando i dati dell'utente.

Una volta completato il lavoro, verrà creato il solito file di testo con la richiesta di riscatto, che è tutt'altro che chiara. Include riferimenti a divinità greche come Prometeo ed Esculapio (padre della medicina). Forma a parte, la richiesta ammonta a 300 euro. Altro punto poco chiaro è che l'email per contattare i ricattatori non è valida, quindi non sarà possibile recapitare loro la prova dell'avvenuto pagamento.

La buona notizia è che quando i ricercatori hanno condotto i test, il sito di download è stato bloccato. L'altra buona notizia è che chi ha già ricevuto il decryptor l'ha avuto in chiaro, quindi dovrebbe essere semplice sbloccare i dati senza pagare. 
unicorn malwareSecondo gli esperti di sicurezza, tutte queste imprecisioni indicano che ad operare sono cyber criminali alle prime armi, con scarse conoscenze tecniche. Il codice del virus che sembra un copia-incolla di altri ransomware e la scarsa diffusione sembrano confermare questa ipotesi.

Dopo le email di phishing a tema coronavirus che hanno fatto strage nella Fase 1, è molto probabile che le app di contact tracing diventino la prossima esca. Chi intende installarle farà bene a verificarne attentamente la provenienza e scaricarle solo ed esclusivamente dagli store ufficiali. Diffidate delle email, delle chat e di qualsiasi canale che in genere non è usato per il download delle app.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 27/05/2020

Tag: app coronavirus contact tracing immuni


Top trend

CoronaVirus
Ransomware
Phishing
Malware
Botnet
Vulnerabilità
Data Breach
IoT
Cyberwarfare



End of content

No more pages to load

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy

statistiche contatore