Immuni, attenzione alle mail truffa per scaricare l’app

In Italia circolano messaggi che invitano a scaricare l’app di contact tracing. Ma il programma ufficiale non è pronto e si carica un ransomware. Occorre attenersi alle comunicazioni ufficiali

L’Italia è al centro di un attacco informatico che, sfruttando la scarsa attenzione di cittadini frettolosi di scaricare l’app Immuni per il contact tracing dei contagi da coronavirus, che ancora non è disponibile negli store, installa sui dispositivi un ransomware che cripta tutti i dati chiedendo un riscatto.

Si chiama FuckUnicorn il ransomware che sfrutta l’emotività legata al Covid-19 per aggirare le difese degli utenti e avvantaggiarsi della scarsa attenzione per estorcere denaro. Le modalità d’attacco sono sempre le stesse: arriva un’email apparentemente credibile che invita a cliccare su un link camuffato da sito internet affidabile. Al contrario, l’utente viene rimbalzato su un indirizzo che scarica il ransomware.

Il team di pronto intervento informatico dell’Agenzia Agid (Cert-Agid) ha pubblicato un’avviso che segnala la presenza del ransomware indicando che il dominio fasullo, al quale gli utenti vengono indirizzati per scaricare il file Immuni.exe, riconduce a una pagina che replica il sito web della Federazione ordini farmacisti italiani (Fofi), del tutto estranea alla faccenda e anche allo sviluppo di Immuni, coordinato dal ministero dell’Innovazione.

Una volta scaricato ed eseguito, il file malevolo mostra una finta dashboard con i dati di contagio del coronavirus. Mentre l’utente visualizza la mappa il ransomware provvede a criptare i dati del sistema rinominandoli aggiungendo l’estensione “.fuckunicornhtrhrtjrjy”.

A questo punto all’utente apparirà un file di testo contenente le istruzioni per pagare un riscatto di 300 euro in bitcoin necessari per far sì che i ciminali decriptino i file.

Il vero problema è che anche se si volesse pagare il riscatto, l’indirizzo email contenuto nelle istruzioni non è valido. Diventa dunque impossibile inviare la prova di avvenuto pagamento agli attaccanti e, di conseguenza, ottenere la decriptazione dei file anche a seguito del pagamento del riscatto.

Wired ricorda di diffidare delle email che invitano a scaricare Immuni cliccando su un link. La app ufficiale deve essere ancora testata e, quando sarà disponibile negli store, sarà svolta una campagna di lancio ufficiale per indicare le modalità di download.