Continuano le campagne che sfruttano l’emergenza CoronaVirus

16/03/2020

BlackWater coronavirus covid19 malware

Nei giorni scorsi è stata rilevata una nuova campagna malspam che sfrutta l’attuale emergenza sanitaria per il Coronavirus per veicolare nuovi tipi di malware. A tal proposito, i ricercatori di MalwareHunterTeam hanno individuato una nuova campagna che sfrutta Workers di Cloudflare per le comunicazioni con il C2.

Il malware denominato BlackWater viene veicolato come archivio RAR denominato “Important – COVID-19.rar”. Una volta estratto l’archivio viene mostrato un file eseguibile, denominato “Important – COIVD-18.docx.exe”, con una icona di MS Word. Considerato il fatto che la maggior parte degli utenti di default non imposta la visualizzazione delle estensione dei file, lo scambieranno per un documento docx legittimo.

Una volta lanciato, l’eseguibile estrae ed apre un documento Word che riporta informazioni sul coronavirus e, mentre la vittima è concentrata a leggere il documento, provvede a rilasciare ed eseguire un ulteriore binario denominato sqltuner.exe che si collega al server C&C, su Cloudflare Workers, per ricevere istruzioni. La scelta di sfruttare Cloudflare Workers è probabilmente dovuta alla possibilità bypassare il rilevamento da parte dei sistemi di sicurezza.

Conclusioni

Nei giorni scorsi, il CERT-PA ha avuto evidenze di altre campagne malspam e promozioni di tool che sfruttano l’emergenza per veicolare malware. Come di consueto, si raccomanda di non aprire allegati di cui non è certa la provenienza facendo riferimento al bollettino emesso dal CERT-PA.

In questo caso, per dubbi e/o chiarimenti per quanto riguarda l’emergenza CoronaVirus si raccomanda di far riferimento alle linee guida presenti sul sito Web del Ministero della Salute.