Attenzione all’email con la finta app Immuni: è un virus

In queste ore è atteso il rilascio dell'app Immuni che permetterà di tracciare i contatti delle persone contagiate da Covid-19, ma il lancio del software si è già trasformato nell'ennesima occasione di profitto per i pirati informatici. A lanciare l'allarme in questi giorni è stato il Computer Emergency Response Team dell'Agenzia per l'Italia Digitale, riferendo come sia stato diffusa in Rete una finta app Immuni, che dietro alle apparenze di un software legittimo nasconde invece un ransomware — un tipo di virus capace di tenere in ostaggio i file del dispositivo attaccato in attesa di un riscatto.

Il finto sito dei farmacisti

La finta app è stata battezzata immuni.exe con l'esatto scopo di ingannare che vi si trova davanti, mentre in realtà nasconde al proprio interno il codice di FuckUnicorn, un ransomware già utilizzato in passato per campagne di pirateria informatica. Per diffondere la finta app sono stati ideati due stratagemmi: il primo è l'invio diretto come allegato email, mentre il secondo e più insidioso metodo di diffusione è un finto sito della Federazione Ordini Farmacisti Italiani. I farmacisti dispongono infatti di un portale raggiungibile all'indirizzo www.FOFI.it, mentre i pirati informatici ne hanno allestito una versione gemella sostituendo la I finale nell'URL con una L minuscola.

La diffusione del ransomware

Il ransomware camuffato da Immuni è ospitato su queste pagine per convincere i visitatori che il download è sicuro, ma non solo; il secondo scopo è fare in modo che la diffusione possa avvenire più efficacemente non solo via email, ma anche attraverso social network e app di messaggistica istantanea come Facebook e WhatsApp. Eliminare gli allegati dai messaggi spostanoli su un sito web apposito fa infatti in modo che le email e i messaggi istantanei non risultino sospetti da parte degli algoritmi di protezione deputati a schermare le minacce.

Cosa succede all'apertura

In caso il file venga eseguito si apre una finta schermata che mostra i dati di diffusione di Covid-19, che è però solamente un metodo per distrarre la vittima; il ransomware infatti nel frattempo procede a rendere illeggibili i file stoccati sul disco rigido. Terminata l'operazione, FuckUnicorn mostra una schermata di testo nella quale gli autori chiedono alla vittima 300 euro per poter tornare ad accedere ai propri file e forniscono le istruzioni da seguire per il pagamento.

I sistemi colpiti

Il file è compatibile soltanto con i sistemi operativi Windows, e su altri prodotti non è neppure possibile aprirlo. L'indirizzo della finta pagina web dell'ordine dei farmacisti risulta al momento in manutenzione, ma non è detto che non possa tornare in attività. Meglio poi rimanere all'erta nel caso il ransomware venga diffuso direttamente come allegato all'interno di un messaggio email. La pandemia di coronavirus ha fatto abbassare la guardia di molti nei confronti di phishing, vishing e attacchi informatici di ogni tipo, ma proprio in momenti come questi che gli attacchi di approfittatori e truffatori si intensificano.