La Fase 2 è in pieno svolgimento e l'incubo della pandemia sembra allontanarsi. Per i cyber criminali però non è ancora arrivato il momento di allentare la presa. Anzi, anche loro sono entrati a tutti gli effetti nella Fase 2. Abbandonate le campagne di phishing che sfruttavano la paura del virus, sono iniziate quelle basate sulla ricerca di lavoro.

È così che sono iniziate le email con falsi curricula allegati. Gli obiettivi non sono coloro che hanno perso il lavoro, ma le aziende. Subissate dai CV a seguito della crisi che ha fatto perdere a molti i posti di lavoro, gli addetti delle risorse umane rischiano di incappare in candidati particolarmente molesti.

All'interno del CV allegato e corredato e da una lettera di presentazione promettente, c'è infatti un trojan bancario che si sprigiona non appena si acconsente all'uso delle macro. Il trucco è sempre lo stesso del file Excel di cui abbiamo parlato più volte. Cambia semplicemente il "vestito".
L'allarme è stato lanciato dai ricercatori di Check Point Software. Il malware usato per questi attacchi è zloader, una vecchia conoscenza nota anche come Zeus Sphinx o Terdot. L'obiettivo di zloader è sempre lo stesso: rubare le credenziali delle vittime e altre informazioni private. Non solo: visto che zloader nasce come malware bancario, i cyber criminali potrebbero usarlo anche per effettuare transazioni finanziarie.

A trarre in inganno è il fatto che i candidati sembrano rispondere a un'offerta di lavoro effettiva. L'unico modo per evitare problemi è non acconsentire all'uso delle macro.

Le campagne che usano i CV come vettore di attacco non sono le uniche in corso. I ricercatori hanno individuato un altro filone parallelo, basato sulle richieste di congedo parentale (un altro argomento caldo della pandemia).

In questo caso il malware che viene installato sui computer delle vittime è Icedid, un altro trojan bancario che ruba i dati finanziari degli utenti. Una campagna simile ha anche impiegato il trojan Trickbot, che è insidioso perché viene costantemente aggiornato con nuove funzionalità e risulta particolarmente flessibile e personalizzabile.

La buona notizia è che il volume degli attacchi sta finalmente iniziando a scendere. Le campagne correlate al COVID-19 sono diminuite del 7% a maggio rispetto ad aprile. La cattiva notizia è che le aziende hanno ripreso le attività e questo cambiamento importante ha causato uno spostamento delle attività dannose. Prima gli obiettivi erano i singoli utenti in smart working, ora sono ripresi gli attacchi diretti contro le aziende, in cui rientrano quelli oggetto di questa notizia.

Restano invece una minaccia costante i nuovi domini. Nelle ultime 4 settimane si sono registrati 10.704 nuovi domini correlati al coronavirus, di cui il 2,5% era dannoso e il 16% sospetto.