“Immuni” fa il suo esordio sugli store di Apple e Google, e subito una campagna malevola prova a sfruttare questo evento, ma la password si trova nei log di rete. Lo comunica Agid-Cert, la struttura del governo che si occupa di cybersicurezza.

Fonte: informatoreinformatico.it

Grazie alla condivisione del sample da parte del ricercatore @JAMESWT_MHT, il CERT-AgID ha avuto evidenza della campagna di hacking che è stata diffusa per diffondere il ransomware denominato “FuckUnicorn”.

Sffruttando la notizia del rilascio del codice dell’App Immuni, i criminali hanno creato un dominio ad arte per ospitare il ransomware, IMMUNI.exe. Nel dominio fofI.it è stato creato un sito identico a quello della Federazione Ordini Farmacisti Italiani (FOFI.it).

Notare che il nome è del tutto simile ma non uguale, con la lettera “l” al posto della “i” (da fofi a fofl).

Il ransomware scaricabile dal sito fake è un eseguibile che, una volta eseguito, mostra una finta dashboard con i risultati della contaminazione Covid-19.

Dall’analisi del codice, eseguita dagli analisti del Cert-AgID, si evince che il ransomware cifra i file utilizzando l’algoritmo AES CBC e una password generata randomicamente che viene successivamente condivisa con il C&C insieme ad altre informazioni sulla macchina compromessa.

A questo punto i dati sono tutti criptati e vi viene chiesto il pagamento di un “riscatto” di soli € 300 per poterli sbloccare.

Il Cert-AgID ha però verificato che la password utilizzata per cifrare i file è inviata in chiaro al C&C raggiungibile all’indirizzo indicato in “targetURL”. In pratica, analizzando i log del traffico di rete sarebbe possibile individuare la password utilizzata per cifrare i file e liberarli senza pagare alcun riscatto.

Il Cert-AgID ha già condiviso gli IoC attraverso il feed del suo progetto CNTI e la piattaforma MISP e allertato i comparti di pertinenza.Al fine di rendere pubblici i dettagli di questa campagna si riportano di seguito gli indicatori rilevati:URL: https://www[.]fofl[.]it/immuni[.]exe
URL: https://www[.]fofl[.]it/
URL: http://116[.]203[.]210[.]127/write[.]phpMD5: b226803ac5a68cd86ecb7c0c6c4e9d00
SHA-1: 110301b5f4eced3c0d6712f023d3e0212515bf99
SHA-256: 7980ef30b9bed26a9823d3dd5746cdefe5d01de2b2eb2c5e17dbfd1fd52f62bfMD5: 1c5300d32acb960a7a58b8a63df56d1c
SHA-1: 948ce470e4a19a087f680f4624654b785a3e288f
SHA-256: eafebe7283bfaba79995546a20f67be4b579cc0620ff9ef3270ce66033d456b0

ImpHash: f34d5f2d4577ed6d9ceec516c1f5a744