Ransomware

Fuckunicorn, ransomware italiano camuffato da app anti COVID-19

A pochi giorni dall’arrivo di Immuni, la app di contact tracing italiana è già caduta vittima di un ransomware dedicato. Fuckunicorn prende di mira il personale medico ma il codice è pasticciato (e riciclato).

Entro pochi giorni dovrebbe arrivare Immuni, la app mobile per il tracciamento volontario degli infetti da COVID-19 tramite le API di contact tracing. Ignoti cyber-criminali si sono però portati avanti con il lavoro realizzando Fuckunicorn, un ransomware camuffato da app contro il virus SARS-CoV-2 ma che ha il solo scopo di rastrellare denaro in forma di Bitcoin.

Identificato dai ricercatori e analizzato dal CERT (Computer Emergency Response Team) dell’AGID, Fuckunicorn ha il modus operandi tipico dei malware criptafile. Una e-mail in italiano invita a scaricare un file eseguibile o un archivio RAR, con la presunta garanzia data dalla Federazione dei Farmacisti Italiani (FOFI).

Il sito FOFI è in realtà fasullo, e impiega un dominio fittizio con una “l” minuscola al posto della “i” finale del sito reale (“fofl” vs “fofi”). Una volta scaricato e avviato, il malware mostra su schermo una copia altrettanto fasulla della mappa di tracciamento delle infezioni da COVID-19. Nel frattempo, Fuckunicorn scandaglia il disco fisso alla ricerca di file di testo, eseguibili, documenti, mp3 e via di questo passo.

Fuckunicorn

I file vengono criptati, e alla fine il ransomware visualizza una nota di riscatto (rigorosamente in italiano e dai toni bizzarramente mitologici) invitando le vittime a spedire € 300 in Bitcoin a un indirizzo e-mail. L’indirizzo risulta però invalido, e il codice del ransomware sembra riciclato da malware già in circolazione come Hidden Tear.

La password usata per cifrare i file arriva in chiaro al server controllato dai criminali, quindi dovrebbe essere possibile recuperarla analizzando il log del traffico di rete. Fuckunicorn è insomma una minaccia un (bel) po’ pasticciata, ma evidenzia quello che forse sarà lo stato delle cose per la (in)sicurezza informatica italiana nel corso delle prossime settimane.

Nessun Articolo da visualizzare