Una trovata tanto acuta quanto potenzialmente dannosa, quella di sfruttare il virus Ebola come veicolo per diffondere infezioni informatiche. Lo hanno rilevato i Security Labs di Websense: fingendosi la World Health Organization e usando lo specchietto del virus Ebola, gli hacker hanno fatto leva sulla paura del contagio per convincere le vittime a cliccare sui link presenti nelle mail o su file allegati da scaricare.
L’oggetto che generalmente accompagnava le mail era “Ebola Safety Tips-By WHO”. Nella fase iniziale della campagna, il messaggio conteneva un URL che rimandava le vittime al download di un file RAR. L’archivio non era altro che DarkComet RAT/Backdoor, un remote administration tool (RAT) che permetteva il controllo dei computer colpiti, e di conseguenza il furto di dati. In seguito la strategia si è perfezionata: le mail sono state accompagnate direttamente da un allegato con il file RAR o eseguibile. Il malware in questione comunicava con un server situato in Romania.
L’argomento Ebola è stato sfruttato anche a proposito della vulnerabilità CVE-2014-4114, sfruttata nella campagna Sandworm che intendeva colpire la NATO, l’Unione Europea e i settori energetico e delle telecomunicazioni. Questa falla consentiva l’esecuzione di un codice remoto se l’utente avesse aperto un file Office specificatamente predisposto, con oggetto “OLE”. L’unica release di Windows dove non era presente questo bug è Windows Server 2003: Microsoft ha già rilasciato una patch dedicata ai suoi sistemi operativi.
Per riconoscere CVE-2014-6352, un’altra vulnerabilità del sistema cui Microsoft non ha ancora trovato rimedio, è possibile usare Yara, strumento che individua i file incriminati. I clienti Websense sono inoltre protetti grazie ad ACE, l’Advanced Classification Engine.
