“Immuni” fa il suo esordio sugli store di Apple e Google, e subito una campagna malevola prova a sfruttare questo evento, ma la password si trova nei log di rete. Lo comunica Agid-Cert, la struttura del governo che si occupa di cybersicurezza.

Grazie alla condivisione del sample da parte del ricercatore @JAMESWT_MHT, il CERT-AgID ha avuto evidenza della campagna di hacking che è stata diffusa per diffondere il ransomware denominato “FuckUnicorn”.  

Sffruttando la notizia del rilascio del codice dell’App Immuni, i criminali hanno creato un dominio ad arte per ospitare il ransomware, IMMUNI.exe. Nel dominio fofI.it è stato creato un sito identico a quello della Federazione Ordini Farmacisti Italiani (FOFI.it).

Notare che il nome è del tutto simile ma non uguale, con la lettera “l” al posto della “i” (da fofi a fofl).

Il ransomware scaricabile dal sito fake è un eseguibile che, una volta eseguito, mostra una finta dashboard con i risultati della contaminazione Covid-19.

Dall’analisi del codice, eseguita dagli analisti del Cert-AgID, si evince che il ransomware cifra i file utilizzando l’algoritmo AES CBC e una password generata randomicamente che viene successivamente condivisa con il C&C insieme ad altre informazioni sulla macchina compromessa.

A questo punto i dati sono tutti criptati e vi viene chiesto il pagamento di un "riscatto" di soli € 300 per poterli sbloccare. L’indirizzo risulta però invalido, e il codice del ransomware sembra riciclato da malware già in circolazione come Hidden Tear.

Il Cert-AgID ha però verificato che la password utilizzata per cifrare i file è inviata in chiaro al C&C raggiungibile all’indirizzo indicato in “targetURL”. In pratica, analizzando i log del traffico di rete sarebbe possibile individuare la password utilizzata per cifrare i file e liberarli senza pagare alcun riscatto.