Il Coronavirus per molti ha rappresentato un elemento di criticità e di rischio, per altri un’opportunità e una possibilità di guadagno. Lo è stato sicuramente per cybercriminali che hanno tratto vantaggio dal bisogno di informarsi sul Coronavirus e su come proteggersi per attivare diffuse campagne di phishing, spesso agendo nei panni di alcuni dei principali enti internazionali preposti al controllo e alla prevenzione dalle malattie (CDC  , WHO ). La cybercriminalità ha colpito piattaforme Windows ma anche Android e Linux nella forma di attacchi Trojan, randomware e wiper.

Il malware che con il nome di Coviper ha popolato il tempo di molti di coloro obbligati al confinamento dalla pandemia di Coronavirus, è nient’’altro che un cosiddetto Trojan maligno capace di installarsi e replicare se stesso su personal computer all’insaputa e senza autorizzazioni dei loro proprietari. Il virus solitamente installa una sua copia infettando alcuni file di sistema corrompendo varie tipologie di file eseguibili del sistema operativo.

Simile a altri virus come MBRKiller, CoViper, il tojan che verrà ricordato come associato al coronavirus, riscrive il record di attivazione (Master Boot Record) del computer della vittima, rendendolo inutilizzabile al suo utente.

 

 VIDEO: Watch BlackBerry® Protect in action against CoViper malware

Dopo la sua esecuzione su un computer con sistema operativo Windows, CoViper inserisce tre file eseguibili PE, uno script VBS, due script batch, una icona e una immagine di background all’interno di un’apposita cartella con le seguenti descrizioni:

  • (/C/COVID-19/end.exe)
    c3f11936fe43d62982160a876cc000f906cb34bb589f4e76e54d0a5589b2fdb9
    MBR Wiper module

  • (/C/COVID-19/mainWindow.exe)
    b780e24e14885c6ab836aae84747aa0d975017f5fc5b7f031d51c7469793eabe
    Create coronavirus window module

  • (/C/COVID-19/run.exe)
    c46c3d2bea1e42b628d6988063d247918f3f8b69b5a1c376028a2a0cadd53986
    Persistent launcher of mainWindow.exe with run.bat

  • (/C/COVID-19/Update.vbs)
    a1a8d79508173cf16353e31a236d4a211bdcedef53791acce3cfba600b51aaec

  • (/C/%Temp%/831A.tmp/run.bat)=
    df1f9777fe6bede9871e331c76286bab82da361b59e44d07c6d977319522ba91

  • (/C/%Temp%/CD61.tmp/coronavirus.bat)=
    4fd9b85eec0b49548c462acb9ec831a0728c0ef9e3de70e772755834e38aa3b3

  • (/C/COVID-19/cursor.cur)
    13c4423ed872e71990e703a21174847ab58dec49501b186709b77b772ceeab52

  • (/C/COVID-19/wallpaper.jpg)
    4a17f58a8bf2b26ece23b4d553d46b72e0cda5e8668458a80ce8fe4e6d90c42d

Per prima cosa il malware esegue lo script di background “coronavirus.bat” usandolo per garantire la persistenza dei file scaricati nella cartella. Lo fa disabilitando srtrumenti di controllo come il Task Manager e lo User Access Control di Windows.

Il file coronavirus.bat viene eseguito alla prima ripartenza del computer, seguito dall’esecuzione dei file precedentemente scaricati run.exe, end.exe, mainWindow.exe e Update.vbs. Dopo avere modificato l’immagine di background dello schermo viene eseguito mainWindow.exe che comunica all’utente, con un messaggio a video, che il computer è stato infettato da coronavirus.

 

Alla seconda ripartenza il file end.exe rende inservibile il computer all’utente.


La presenza del file Update.vbs nella cartella creata dal malware è per il momento senza spiegazione. E’ come se fosse un programma non ancora terminato o in preparazione per agire in futuro nella forma di ransomware. Nella versione attuale del virus non appare alcun tipo di messaggio come quelli solitamente associate agli attacchi ransomware.

Tuttiu gli attacchi crybercriminali, compreso quelli targati CoViper, stanno aumentando in frequenza, sofisticatezza ed efficacia. Il trend evidenzia la fragilità delle tante misure e pratiche messe in opera per contrastare una cybercriminalità sempre più agguerrita e aggressiva oltre che efficace e organizzata. Per far fronte alle nuove sfide bisogna dotarsi di strumenti altrettanto sofisticati ed efficaci, meglio se dotati di intelligenza artificiale. Strumenti necessari prevenire oltre che per gestire senza danni gli eventuali attacchi.

BlackBerry è una delle aziende che ha fatto di questo tipo di soluzioni il suo punto di forza, in particolare nella prevenzione degkli attacchi. Anche per il malware CoViper che ha caratterizzato il periodo della pandemia la soluzione di BlackBerry  si chiama The BlackBerry Predictive Advantage. Una soluzione capace di creare una barriera di difesa preventiva che è stata testata già da anni e che funziona perfettamente anche con il CoViper.