Ordine dei Dottori Commercialisti e degli Esperti Contabili di Catania

Segnalazioni marzo 2020 - alert sistemi informativi - CoronaVirus e BlackWater

Protocollo intesa tra la Polizia di Stato compartimento Polizia Postale e delle comunicazioni “Sicilia Orientale” e ODCEC di Catania siglato in data 18 maggio 2019 per la prevenzione ed il contrasto dei crimini informatici sui sistemi informativi “critici”: accessi abusivi, frodi informatiche, spionaggio, violazione dell’identità digitale, indebita sottrazione di informazione.

 

Di seguito si segnalano gli alert dei Sistemi Informativi – MARZO 2020 

 

 

CoronaVirus: il nuovo ransomware

È stato individuato un nuovo ransomware battezzato CoronaVirus, distribuito tramite un sito web fraudolento che pubblicizza un falso software per l’ottimizzazione dei sistemi di WiseCleaner.
Da qui le vittime scaricano un file chiamato WSHSetup.exe che al momento funge da downloader sia per il trojan infostealer Kpot che per CoronaVirus.
Kpot, una volta scaricato sul PC della vittima, tenta di esfiltrare cookie e credenziali di login dai browser, dai programmi di messaggistica, da VPN e FTP nonché dagli account mail. Il malware è anche in grado di fare screenshot del desktop e cerca di rubare gli ID dei wallet di criptomoneta memorizzati sulla macchina.
CoronaVirus, invece, viene utilizzato per cifrare i file della vittima. L’estensione dei documenti criptati rimane quella originale mentre viene modificato il filename, sostituito con l’indirizzo dell’attaccante da contattare per avere informazioni sul pagamento.
Il riscatto richiesto ammonta a 0.008 Bitcoin (circa 50 dollari USA), una cifra così bassa che porta i ricercatori ad ipotizzare che il ransomware venga utilizzato più che altro per coprire l’infezione di Kpot.
 

BlackWater

Una nuova backdoor identificata come BlackWater sta abusando della piattaforma per servizi serverless Cloudflare Workers per comunicare con il proprio C2.
La minaccia viene distribuita tramite un archivio RAR chiamato “Important – COVID-19.rar” al cui interno è contenuto un file che utilizza l’icona di Word ma è in realtà un eseguibile. Quest’ultimo estrae un documento Word come decoy mentre il malware viene installato ed eseguito in background.
La backdoor viene quindi lanciata grazie ad una linea di comando che consente la connessione con un Cloudflare Worker che agisce da server C&C. Il C&C risponde poi con una stringa JSON criptata che contiene comandi da eseguire.
BlackWater è un malware di nuova generazione che sfrutta ReactJS Strapi e impiega il parser basato su JSON all’interno della sua DLL allo scopo di rendere più complesso il blocco del traffico malevolo.

 

Suggerimenti

Sensibilizzare il personale preposto ai Servizi IT al fine di verificare il corretto aggiornamento dei sistemi e di rammentare a tutto il personale di non aprire mail inattese o comunque di provenienza incerta, evitando nel modo più assoluto di aprire allegati di cui non si conosce la natura e l’origine nonché di non installare sui dispositivi, di proprietà di codesti Enti, applicazioni non autorizzate o non pertinenti per svolgere i compiti del proprio Ufficio

18 marzo 2020