Con l’arrivo dei vaccini per il covid-19, continuano anche le truffe dei criminali informatici, che già nel 2020 non hanno perso tempo per sfruttare le aspettative, le domande e le paure delle persone in relazione alla pandemia. Si è visto già lo scorso anno quanto il phishing abbia saputo sfruttare i temi connessi al coronavirus (i dubbi sulle modalità di contagio e la ricerca di mascherine da acquistare, per esempio) e l’inizio del nuovo anno sta confermando questa tendenza. Un esempio è l’ondata di email di spam osservata da Bitdefender: sfrutta il tema delle covid-19 per installare un malware.
Si tratta di Remcos, un software di controllo remoto e sorveglianza sviluppato e distribuito da un’azienda denominata Breaking Security. Dal 2017, quando è apparso per la prima volta sul mercato, Remcos ha guadagnato popolarità tra gli hacker criminali e si è persino inserito nel portafoglio minacce a disposizione di sofisticati gruppi Advaced Persistent Treath come Gorgon Group e APT33.
Ora, spiegano i ricercatori di Bitdefender, Remcos sta sfruttando l’argomento covid-19 attraverso messaggi di spam che ingannano gli utenti e attivano il malware. Come payload vengono usate delle immagini codificate attraverso la tecnica della steganografia (cioè modificate con informazioni nascoste al loro interno), che vengono poi caricate sul servizio di hosting Imgur. Da qui, il malware scarica, decodifica ed estrae i payload.
Che si tratti di un malware piuttosto sofisticato si evince dal fatto che utilizza numerose tattiche anti-reverse-engineering per rallentare le procedure di rilevamento. Remcos può estrarre le informazioni dal computer della vittima ed eseguire altri malware in base ai comandi degli autori dell’attacco.
Il veicolo di diffusione di questo malware, attualmente, sono messaggi di posta elettronica di phishing, che fanno riferimento al coronavirus e al covid-10 e che contengono un link dannoso. Il messaggio, redatto con cura, invita la vittima a scaricare il file ZIP seguendo il link e facendo doppio click sul contenuto. In uno dei messaggi analizzati da Bitdefender, il mittente dell’email si spaccia per il Ministero della Salute della Colombia. Il contenuto è minaccioso: si comunica che il ricevente ha violato le norme sanitarie contro la prevenzione e la diffusione della malattia, e che per questo ha ricevuto una multa. Nel caso abbocchi all’amo, l’utente scaricherà e poi eseguirà un file eseguibile che innesca la catena del malware.