App Immuni ed attacco Ransomware “FuckUnicorn”

8 Giugno 2020

Dal 5° Giugno per 4 regioni italiane, Puglia, Abruzzo, Marche e Liguria, è iniziata la sperimentazione della App IMMUNI.

La controversa App di tracciamento umano, Immuni, è pensata per arginare eventuali nuovi focolai di contagio da Coronavirus.

Come funziona questa tecnologia? Negli ultimi documenti pubblicati dagli sviluppatori dell’ app, si spiega che seguirà il modello decentralizzato di Google e Apple, ovvero i dati raccolti saranno conservati sui singoli device e non su un server centrale. 

La app non traccerà gli spostamenti, ma solo i contatti di prossimità tra smartphone, non sarà obbligatorio scaricarla, né usarla, ed i dati raccolti potranno essere condivisi solo con l’autorizzazione del possessore dello smartphone.

Per non dimenticare la privacy degli utilizzatori, tutti i dati raccolti e condivisi con il server centrale (gestito da Sogei), dovranno essere cancellati entro dicembre 2020.

Seppur ad un primo sguardo l’uso della app Immuni, sembrerebbe lasciare dubbi sul tema della tutela della privacy degli utilizzatori, ciò che sì è verificato già dalle prime ore in cui la app è stata resa disponibile sugli store di Google ed Apple è stato un attacco informatico!

Agid-Cert, la struttura del governo che si occupa di cyber sicurezzaha reso noto la diffusione dell’ attacco ransomware denominato “FuckUnicorn” che ha sfruttato la notizia del rilascio del codice dell’App Immuni facendo leva sull’emergenza Covid-19.

La diffusione del Ransomware FuckUnicorn avviene tramite mail che invita a cliccare su un sito fake creato ad hoc. Al fine di rendere credibile il download del file malevolo, il sito fake è stato ospitato su un dominio creato ad arte per replicare i contenuti della Federazione Ordini Farmacisti Italiani (FOFI.it).

Il nome dominio scelto per clonare il sito ufficiale è simile a quello reale, con la lettera “l” al posto della “i” (da fofi a fofl).

Il ransomware scaricabile dal sito fake è un eseguibile rinominato “IMMUNI.exe” che una volta eseguito mostra una finta dashboard con i risultati della contaminazione Covid-19.

Nel frattempo il malware provvede a cifrare i file presenti sul sistema Windows della vittima e a rinominarli assegnando l’estensione “.fuckunicornhtrhrtjrjy”.

In fine mostra il classico file di testo con le istruzioni per il riscatto, ovvero il pagamento di 300€ in bitcoin per liberare i file cifrati.

Raccomandiamo la massima attenzione ai link, alle estensioni dei file soprattutto per le comunicazioni legate alla situazione d’emergenza Covid-19 che è stata particolarmente sfruttata dagli hacker per finalizzare i propri attacchi.