Le aziende rimangono chiuse in molte grandi città del mondo mentre la pandemia di coronavirus infuria, ma i criminali informatici sono ancora aperti agli affari, poiché continuano a usare la crisi per servire ai loro scopi nefasti. L’ultima raccolta di minacce al coronavirus di oggi, include un tentativo di hacking segnalato contro l’Organizzazione mondiale della sanità , un attacco di dirottamento DNS progettato per diffondere un’app dannosa COVID-19 e una trama bizzarra per diffondere malware tramite una soluzione antivirus digitale.
Il possibile gruppo APT prende di mira l’OMS
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Secondo quanto riferito, hacker sofisticati, probabilmente appartenenti a un gruppo internazionale avanzato di minacce persistenti, hanno tentato di hackerare i sistemi dell’Organizzazione mondiale della sanità all’inizio di questo mese.
I colpevoli e il loro preciso motivo sono sconosciuti, ma due fonti senza nome hanno riferito a Reuters che sospettano che l’attore sia un gruppo APT ben noto che si dice sia legato all’Asia orientale e, più precisamente, alla Corea.
Secondo quanto riferito, il CISO dell’OMS Flavio Aggio ha riferito a Reuters che c’è stato un aumento significativo dei tentativi di pirateria informatica contro l’agenzia sanitaria in mezzo alla pandemia di coronavirus; tuttavia, questo particolare incidente non ha avuto successo.
Alexander Urbelis, un esperto di informatica del Blackstone Law Group, è il primo a rilevare l’attività dannosa, dopo aver osservato che gli hacker hanno creato un sito Web dannoso che impersonava il sistema di posta elettronica interno dell’OMS.
In seguito, secondo quanto riferito, Aggio ha confermato che il sito Web fasullo era stato utilizzato nel tentativo di rubare le password ai membri della forza lavoro dell’agenzia. Nel frattempo, Costin Raiu, capo della ricerca e delle analisi globali di Kaspersky, ha riferito che la stessa infrastruttura web è stata recentemente utilizzata per colpire altre organizzazioni sanitarie e umanitarie.
I router sono stati dirottati per fornire falsi avvisi sulle app COVID-19
Secondo quanto riferito, gli attori dannosi stanno dirottando i router domestici e cambiando le loro configurazioni DNS al fine di reindirizzare gli utenti di computer Windows a contenuti dannosi, sotto forma di un falso avviso dell’OMS.
Intermezzo promozionale ... continua la lettura dopo il box:
Secondo BleepingComputer , le vittime della campagna hanno osservato che i loro browser web si aprivano da soli e mostravano un messaggio falso che indica loro di scaricare una presunta app di informazioni COVID-19 chiamata “Emergency – COVID-19 Informator” o “COVID-19 Inform App “. In realtà , tuttavia, questa app è in realtà il malware che ruba informazioni noto come Oksi.
Oksi è in grado di rubare dati basati su browser, inclusi cookie, cronologia di Internet e informazioni di pagamento, nonché credenziali di accesso salvate, portafogli di criptovaluta, file di testo, informazioni di compilazione automatica del modulo del browser e database di autenticazione Authy 2FA.
Non è noto come gli aggressori abbiano compromesso i router interessati – che include modelli di D-Link e Linksys – ma i rapporti dicono che alcune vittime hanno lasciato aperte le loro capacità di accesso remoto e hanno anche usato password deboli.
“Questo attacco evidenzia la necessità per le persone di assicurarsi di cambiare il nome utente / la password predefiniti per il router di casa, poiché un certo numero di utenti interessati ha ammesso di avere una combinazione debole o predefinita”, ha affermato Laurence Pitt, direttore della strategia di sicurezza globale di Juniper Networks . La maggior parte dei provider di servizi Internet oggi fornisce router con una configurazione di sicurezza predefinita decente. Sembra che questo attacco abbia preso di mira una certa marca di router, [che] indicherebbe anche che gli utenti hanno lasciato la combinazione admin / password predefinita per accedere al dispositivo. ”
BleepingComputer afferma che il reindirizzamento del sito Web si verifica quando le macchine Windows compromesse utilizzano la loro funzione integrata “Indicatore di stato della connettività di rete (NCSI)” per verificare la connettività Internet. Invece di risolvere l’indirizzo IP Microsoft corretto per eseguire questo controllo, i server inviano l’utente a un sito controllato dagli hacker che visualizza l’avviso.
Gli utenti i cui browser mostrano questo strano comportamento dovrebbero riconfigurare i loro router in modo che ricevano automaticamente i loro server DNS dall’ISP, il rapporto termina.
Sebbene si tratti in gran parte di un problema relativo al router domestico, Justin Jett, direttore dell’audit e della conformità di Plixer, ha affermato che anche le aziende devono essere consapevoli della minaccia, poiché milioni di impiegati lavorano da casa per ridurre l’esposizione al coronavirus.
“… [O] le organizzazioni dovrebbero essere sicure di disporre di una solida infrastruttura VPN per consentire ai lavoratori remoti di connettersi”, ha affermato Jett. “Ciò consentirà ai dipendenti che utilizzano laptop aziendali di connettersi in modo sicuro alla rete aziendale senza utilizzare le impostazioni DNS della rete domestica interna.”
Inoltre, “assicurati di avere configurato l’analisi del traffico di rete nella rete per monitorare le connessioni dei lavoratori remoti che potrebbero essere state colpite dal malware della rete domestica”, ha aggiunto Jett. “Ciò consentirà ai team di rete e di sicurezza di identificare la presenza di malware”.
Bizzarre truffe anti-virus diffondono RAT
In uno dei più strani cyber complotti COVID-19, attori malintenzionati hanno creato un sito Web di truffa che pubblicizza una soluzione anti-virus digitale falsa che le persone possono scaricare sui loro computer per presumibilmente proteggerli dal coronavirus.
Il sito Web, antivirus-covid19 [.], Fa una strana affermazione. “I nostri scienziati dell’Università di Harvard hanno lavorato su uno speciale sviluppo dell’IA per combattere il virus usando un’app di Windows. Il tuo PC ti protegge attivamente dai Coronavirus (Cov) mentre l’app è in esecuzione “, afferma il sito, secondo una società per post di blog di Malwarebytes .
Ma il download di questo programma in realtà infetta gli utenti con il trojan di accesso remoto BlackNET. BlackNET offre molteplici funzionalità agli aggressori, che possono lanciare attacchi DDoS, acquisire screenshot, eseguire la registrazione di chiavi, rubare password salvate e cookie di Firefox, rubare da portafogli Bitcoin, eseguire script e altro.
Il trojan bancario Ginp aggiunge la truffa “Coronavirus Finder” a un sacco di trucchi
Una nuova versione del trojan bancario Ginp – tradizionalmente conosciuta per gli utenti di dispositivi Android infetti e inducendoli a divulgare i dati della loro carta di credito – ha la capacità di inviare alle sue vittime un nuovo richiamo ispirato alla pandemia di coronavirus.
Secondo un nuovo post di Kaspersky , Ginp può ora ricevere un comando per aprire una pagina Web fasulla chiamata “Coronavirus Finder” che afferma di mostrare agli utenti che sono infetti da COVID-19 nella loro area. Ma, naturalmente, c’è un problema: gli utenti devono pagare con i dati della loro carta di credito per ricevere queste informazioni apparentemente vitali.
“Una volta inseriti i dati della tua carta di credito, vanno direttamente ai criminali … e non succede nient’altro”, afferma il post del blog, dell’analista di malware Kasperksy Alexander Eremin. “Non ti addebitano nemmeno questa piccola somma (e perché dovrebbero, ora che hanno tutti i fondi della carta al loro comando?). E, naturalmente, non ti mostrano alcuna informazione sulle persone infette da coronavirus vicino a te, perché non ne hanno. ”
Ginp in gran parte infetta i proprietari di dispositivi Android con sede in Spagna, ma Kaspersky teorizza che quest’ultima versione del malware potrebbe essere potenzialmente utilizzata in una campagna più geograficamente dispersa. “… [T] sua è una nuova versione di Ginp che è taggata ‘flash-2’, mentre le versioni precedenti sono state taggate ‘flash-es12’, afferma Eremin nel post del blog di Kaspersky. “Forse la mancanza di” es “nel tag della versione più recente significa che i criminali informatici intendono espandere la campagna oltre la Spagna”, conclude il rapporto.
Hijacked routers and attempted WHO hack highlight latest COVID-19 attacks
