Immuni è online da pochi giorni e i pirati informatici ne stanno già approfittando: stanno girando infatti alcune mail che consigliano di scaricare l’app e che rimandano a un falso sito della Federazione Farmacisti che contiene un virus denominato FuckUnicorn

Immuni, l’app scelta dal Governo Italiano per tracciare i contatti al fine di limitare il diffondersi del Coronavirus, è stata rilasciata lunedì 1 giugno ed è già utilizzata dai cybercriminali come pretesto per indurre gli utenti a cliccare su finti siti web per far scaricare loro un virus.

A rendere noto questo pericolo è stato un avviso di Cert – Agid, la struttura governativa che si occupa di sicurezza informatica. Nella nota si legge che la campagna malevola è stata veicolata col fine di diffondere un ransomware denominato “FuckUnicorn”.

Per rendere verosimile l’inganno gli hacker hanno utilizzato una tecnica di ingegneria sociale tipica del phishing, e cioè quella di scegliere un target di vittime (in questo caso farmacie, parafarmacie ed Enti coinvolti nell’emergenza sanitaria) e ricreare un sito falso verso cui rimandarli. Per questa campagna è stato infatti creato un sito che impersonava piuttosto fedelmente quello della Federazione dei Farmacisti Italiani (Fofi).
Il nome del dominio scelto per clonare il sito – spiega Agid-Cert nella comunicazione del 25 maggio – è simile a quello reale, con la lettera “L” al posto della “i” (da fofi a fofl).

L’utilizzo di domini internet con nomi molto simili ad altri è chiamato typosquatting.

Quando l’utente cliccava quindi sul link riportato nella mail (per altro scritta in un italiano corretto), veniva rimandato al sito truffaldino in cui trovata un file presentato come la prima versione beta dell’app Immuni e denominato appunto “IMMUNI.exe”, rendendolo quindi facilmente confondibile con la nuova applicazione.

Una volta eseguito il file veniva mostrato un finto pannello di controllo che presentava dei finti risultati dell’andamento della pandemia da Covid-19.

Nel frattempo il malware provvedeva a cifrare i file presenti sul sistema Windows della vittima e a rinominarli assegnando l’estensione “.fuckunicornhtrhrtjrjy”. Infine, veniva mostrato un file di testo, sempre scritto in italiano corretto ma questa volta in versi, con le istruzioni per il riscatto: il pagamento di 300 euro in bitcoin per liberare i file cifrati.

L’unico modo per avere indietro i propri dati infatti, dopo l’attacco di un ransomware, è quello di cedere al pagamento di un riscatto.

Cert-Agid ha prontamente avvertito la Polizia Postale che ha già avviato un’indagine.