Con l’intensificarsi della guerra in Ucraina, i ricercatori di Bitdefender Labs stanno raccogliendo ondate di e-mail fraudolente e dannose che sfruttano la crisi umanitaria e lo spirito di beneficenza dei destinatari in tutto il mondo. Quello che abbiamo visto finora:
Le campagne di spam forniscono i RAT dell’Agente Tesla e Remcos
Dal 1 marzo, Bitdefender Labs ha monitorato due campagne di phishing che tentavano di infettare i destinatari con due noti Trojan di accesso remoto: l’Agente Tesla e Remcos.
Campagna 1:
La prima campagna di spam sembra prendere di mira le organizzazioni del settore manifatturiero tramite un allegato .zip “REQ Supplier Survey”. Gli aggressori chiedono ai destinatari di compilare un sondaggio sui loro piani di riserva in risposta alla guerra in Ucraina.
Secondo i nostri ricercatori sulle minacce, il payload dannoso viene scaricato e distribuito da un collegamento Discord direttamente sul computer della vittima. È interessante notare, tuttavia, che l’interazione con il file dannoso scaricherà anche una versione pulita di Chrome sul dispositivo degli utenti, molto probabilmente un tentativo di deviare gli utenti.
L’agente Tesla è un famigerato Malware-as-a-service (MaaS) RAT e un ladro di dati che è stato prevalente in numerosi attacchi informatici basati su e-mail durante la crisi sanitaria. Gli autori utilizzano l’Agente Tesla per esfiltrare informazioni sensibili tra cui credenziali, sequenze di tasti e dati degli appunti dai loro obiettivi.
Secondo la nostra analisi, gli attacchi avrebbero avuto origine da indirizzi IP nei Paesi Bassi (86%) e in Ungheria (3%). Le e-mail dannose hanno raggiunto destinatari in tutto il mondo, tra cui Corea del Sud (23%), Germania (10%), Regno Unito (10%), Stati Uniti (8%), Repubblica Ceca (14%), Irlanda (5%), Ungheria (3%), Svezia (3%) e Australia (2%).
I clienti di Bitdefender sono già protetti dagli attacchi dell’Agente Tesla. Il file allegato REQ Supplier Survey.zip , rilevato come Gen:NN.ZemsilCO.34232.cm0@aKLKBXo, viene rilevato e bloccato dalle nostre soluzioni consumer e enterprise.
Campagna 2:
I nostri ricercatori hanno individuato una campagna di spam separata il 2 marzo, in cui gli aggressori impersonano un’azienda sanitaria sudcoreana specializzata in analizzatori diagnostici in vitro per fornire il RAT Remcos tramite un allegato Excel (SUCT220002.xlsx).
Il messaggio cita il conflitto in corso in Ucraina e chiede ai destinatari se vogliono sospendere uno dei loro ordini fino alla riapertura delle spedizioni e dei voli. Gli aggressori informatici implementano Remcos RAT principalmente tramite documenti o archivi dannosi per ottenere il pieno controllo sui sistemi delle loro vittime. Una volta all’interno, possono acquisire sequenze di tasti, schermate, credenziali o altre informazioni di sistema sensibili ed esfiltrarle direttamente sui loro server.
L’89% delle e-mail dannose sembra provenire da indirizzi IP in Germania e il 19% negli Stati Uniti. L’attenzione degli attaccanti si concentra sui destinatari in Irlanda (32%), India (17%), Stati Uniti (7%), Regno Unito (4%), Germania (4%), Vietnam (4%), Russia (2% ), Sudafrica (2%) e Australia (2%).
“Sebbene i recenti attacchi informatici non fossero mirati specificamente alle infrastrutture ucraine o alla popolazione civile, la tensione globale generata dalla guerra in corso si concretizzerà probabilmente in attacchi più mirati che potrebbero scoraggiare i servizi di risposta alle emergenze e gli sforzi di aiuto umanitario nel Paese”, ha affermato Alexandru Maximciuc, ricercatore di minacce presso Bitdefender Labs.
“Abbiamo già visto attacchi DDoS di massa e malware wiper che hanno colpito istituzioni e organizzazioni finanziarie in Ucraina. Considerando le estese sanzioni economiche imposte dalle nazioni occidentali in risposta all’invasione russa, le aggressioni digitali volte a distruggere le infrastrutture critiche non dovrebbero essere respinte nel panorama attuale delle minacce”.
Le soluzioni Bitdefender consumer e business rilevano l’allegato dannoso SUCT220002.xlsx che fornisce Remcos RAT come Exploit.CVE-2017-11882.Gen .
Le criptovalute di beneficenza si stanno intensificando
Il 25 febbraio, Bitdefender Antispam Lab ha riportato i primi segni di truffatori che sfruttavano l’invasione russa dell’Ucraina e le notizie di cittadini ucraini in fuga dal paese. Come previsto, i truffatori continuano a sfruttare la crisi umanitaria in corso per i propri guadagni finanziari.
Poche ore dopo l’invasione, il governo ucraino ha annunciato di accettare donazioni di criptovalute BTC ed ETH e la comunità globale non ha deluso. Secondo l’ultima analisi delle transazioni blockchain, il portafoglio ETH ha ricevuto oltre 18.524 transazioni per un totale di oltre 9,7 milioni di dollari, mentre il portafoglio BTC mostra più di 9.300 transazioni per un valore di 9,4 milioni di dollari.
Non ci sono dubbi; individui, organizzazioni e governi si stanno schierando e i criminali informatici devono intensificare i loro sforzi per reindirizzare qualsiasi aiuto finanziario nelle loro tasche.
“È noto che i principali eventi e crisi globali attivano campagne di spam dannose che sfruttano le emozioni umane e il desiderio di aiutare delle persone”, ha affermato Adrian Miron, Antispam Research Manager di Bitdefender .
“Finora, abbiamo notato che gli aggressori hanno reagito molto rapidamente agli annunci legittimi dell’Ucraina e di altre organizzazioni imitando il formato dei loro messaggi. Prevediamo che la varietà di campagne di phishing e malware, nonché il volume dei messaggi inviati quotidianamente, aumenterà costantemente e che gli aggressori adattino di conseguenza i loro metodi di persuasione”.
Bitdefender Labs sta monitorando attivamente le email di donazioni fraudolente che attirano i destinatari a donare denaro. I truffatori stanno impersonando il governo ucraino, l’agenzia umanitaria internazionale Act for Peace , l’UNICEF e altri progetti di donazioni come l’ Ucraina Crisis Relief Fund per presentare le loro richieste di assistenza finanziaria per aiutare l’esercito ucraino e milioni di civili e bambini coinvolti nel conflitto militare .
Le righe dell’oggetto sono le seguenti:
- Stai con il popolo ucraino. Ora si accettano donazioni in criptovaluta. Bitcoin, Ethereum e USDT.
- AIUTATE L’UCRAINA a fermare la guerra!
- Donazione umanitaria Ucraina
- Dona all’Ucraina, aiuta a salvare una vita: per favore leggi
- Urgente! Aiuta i bambini in Ucraina
- Oggetto: Aiutare l’Ucraina
Le e-mail giocano sulle emozioni degli utenti citando l’impatto sulle comunità in Ucraina e il numero crescente di rifugiati che stanno fuggendo dal paese e hanno un grande bisogno di forniture e alloggi.
Le truffe di beneficenza basate su e-mail hanno raggiunto il picco il 2 marzo, secondo Bitdefender Antispam Lab.
Una campagna in particolare, che utilizza l’oggetto “Stai con il popolo ucraino. Ora si accettano donazioni in criptovaluta. Bitcoin, Ethereum e USDT” provenienti da indirizzi IP in Cina ha raggiunto decine di migliaia di caselle di posta il 2 marzo . Il 25% delle e-mail truffa è stato indirizzato a utenti nel Regno Unito, il 14% negli Stati Uniti, il 10% in Corea del Sud, l’8% in Giappone, il 7% in Germania, il 4% in Romania e il 2% in Grecia, Finlandia e Italia.
Schemi di posta elettronica in stile principe nigeriano
I filtri antispam di Bitdefender hanno anche notato una variante ucraina della truffa del principe nigeriano. L’e-mail, presumibilmente inviata da un famoso uomo d’affari ucraino, chiede il tuo aiuto per trasferire $ 10 milioni fino a quando non sarà in grado di trasferirsi in un posto sicuro.
I truffatori dietro questa particolare truffa stanno inviando e-mail da indirizzi IP in Botswana (83%), Germania (10%) e Francia 5%. Il loro pubblico principale sono gli utenti in Germania (42%), Turchia (16%), Stati Uniti (16%), Irlanda (8%) e Polonia (3%).
Sfortunatamente, gli utenti che rispondono a questa email si metteranno in contatto con il truffatore che chiederà informazioni personali per aiutare a trasferire il denaro fuori dal Paese. Sebbene l’e-mail non prometta ai destinatari alcun premio finanziario per il loro aiuto, l’artista della truffa probabilmente specificherà la remunerazione per averlo aiutato a finalizzare il trasferimento. Molto spesso il truffatore chiederà ai destinatari di pagare le spese di amministrazione, spesso associate allo spostamento di ingenti somme. Dopo aver ingannato la vittima, il truffatore scomparirà con i soldi o, peggio, prosciugherà il suo conto bancario nel processo.
L’attenzione di Bitdefender sulla sicurezza informatica
Il fatto che criminali informatici e truffatori stiano sfruttando la crisi in Ucraina per rubare i soldi degli utenti e diffondere payload dannosi non sorprende gli esperti di sicurezza informatica. Sebbene la guerra in Ucraina possa essere lontana migliaia di chilometri da molti di noi, la sofferenza delle persone innesca una forte risposta emotiva agli utenti di tutto il mondo che desiderano dare una mano ai rifugiati in fuga dal paese europeo colpito dalla guerra.
Invitiamo tutti gli utenti di Internet a essere estremamente vigili durante questi tempi difficili e a praticare una buona igiene informatica per garantire che i loro sudati guadagni non finiscano nelle mani sbagliate:
- Non fare mai clic su collegamenti o allegati in e-mail o messaggi che richiedono una donazione urgente
- Dona esclusivamente tramite enti di beneficenza ufficiali e di fiducia, organizzazioni senza scopo di lucro e raccolte fondi
- Controlla regolarmente i tuoi conti finanziari per eventuali attività sospette o addebiti non autorizzati
- Imposta password univoche per tutti gli account online
Per ulteriori suggerimenti, consulta la nostra guida dedicata alla sicurezza informatica nelle zone di conflitto armato.
In risposta alla crisi militare e all’aumento dell’attività dei criminali informatici, Bitdefender e la direzione nazionale rumena per la sicurezza informatica (DNSC) offrono protezione gratuita della sicurezza informatica a qualsiasi cittadino, azienda o istituzione ucraina, per tutto il tempo necessario.
