G Data avverte della campagna di spam attiva: le presunte regole di sicurezza sul lavoro della corona contengono malware. I criminali stanno attualmente inviando un documento con le regole di sicurezza sul lavoro della corona presumibilmente modificate. L'e-mail è mascherata da informazioni del Ministero della Salute.
Un'e-mail che presumibilmente proviene dal Ministero Federale della Salute contiene un downloader di malware. Il file allegato con il nome "Bund-Arbeitsschutzregel-Corona-September.zip" contiene presumibilmente un documento con regole aggiornate e ora vincolanti per la protezione dalle infezioni sul posto di lavoro. Il testo dell'e-mail consente di concludere che le aziende fanno principalmente parte del gruppo target. Per questo motivo, attualmente si consiglia alle aziende di prestare particolare attenzione quando presunte e-mail delle autorità finiscono nella casella di posta. Siamo a conoscenza di segnalazioni di infezioni attualmente attive.
"La pandemia di coronavirus sta ancora causando molta incertezza e la combinazione di molte regole di home office e di igiene sul posto di lavoro pone in realtà grandi sfide per i datori di lavoro", afferma Tim Berghoff, Security Evangelist presso G DATA CyberDefense. “Proprio per questo, i responsabili dovrebbero guardare molto da vicino e fidarsi solo delle fonti ufficiali. Perché un'infezione da malware è ancora meno utile per le aziende al momento di quanto non lo sia già".
Gli aggressori approfittano dell'ignoranza dei dipendenti e delle aziende
Tim Berghoff, Security Evangelist presso G Data.
Il testo dell'e-mail indica un incontro tra i ministri della salute dell'UE in cui sono state riviste le norme aggiornate. Potrebbe anche essere vero che ci sia stato un incontro del genere, tuttavia tali informazioni di solito non vengono inviate via e-mail dai ministeri, ma sono pubblicate su un portale separato. Non esiste un mailing proattivo.
Inoltre, il testo dell'e-mail fa riferimento a un incontro avvenuto "oggi". Ci sono anche alcuni errori di carattere nella posta, specialmente le lettere U, W, C e D così come le dieresi. L'e-mail contiene anche un indirizzo del mittente errato che fa riferimento a "bundesministerium-gesundheit.com", ma questo dominio non appartiene al Ministero della Salute. L'indirizzo indicato nel testo dell'e-mail "[email protected]” è effettivamente corretto.
L'informazione preventiva è particolarmente utile contro le campagne di spam ben fatte
Per proteggersi da un'infezione da malware da un'e-mail da una tale campagna di spam, le aziende e i privati dovrebbero ottenere tutte le informazioni sulla pandemia di COVID19 e le relative misure di protezione solo da fonti ufficiali. Tutte le informazioni aggiornate su Corona e COVID19 sono raccolte sul sito web del Ministero Federale della Salute (BmG).
A proposito, un'altra e-mail con la stessa funzione dannosa è attualmente in arrivo sotto forma di una falsa lettera di candidatura. Uno dei nomi utilizzati per la presunta applicazione è “Claudia Alick”.
Il fatto che i criminali utilizzino la pandemia come leva per le loro attività non è una novità: anche all'inizio della pandemia, i truffatori hanno assicurato che il pagamento degli aiuti finanziari alle imprese vulnerabili fosse brevemente sospeso.
Funzioni dannose del caricatore di script "Buer"
Secondo le conoscenze attuali, l'allegato di posta contiene un caricatore JScript chiamato "Buer", che a sua volta scarica ulteriori malware da Internet. Si tratta di NuclearBot, un trojan bancario che prende di mira, tra le altre cose, le password dei conti bancari.
Maggiori informazioni su questo nel blog su GData.de