伪造的COVID-19联系人追踪应用隐藏了独角兽勒索软件

通常，您可以从他们的攻击中得知很多有关网络犯罪的信息。他们使用的技巧常常使我们对对手的熟练程度有所了解，但最近发布的一项针对Unicorn勒索软件的活动证明，有时情况可能是骗人的。

独角兽勒索软件在意大利药房上市

最初由安全研究人员昵称JamesWT 检测到该攻击。它似乎直接针对意大利药房，并利用COVID-19危机诱使用户安装了一种相对较新的勒索软件，即Unicorn。

该恶意软件也被称为F *** unicorn，似乎是专门为该目的而创建的，并且看起来攻击程度足以确保意大利计算机紧急响应小组（CERT）的建议。

黑客在社交工程方面表现不佳

它始于一封声称来自意大利药剂师联合会的电子邮件。它说联邦正在启动一个PC应用程序的Beta版，该应用程序可提供有关新冠状病毒传播的实时数据。有一个下载链接，黑客使用了一种称为错录的技术来使URL看起来更具说服力。

意大利药剂师联合会的网站为http://www.fofi.it/ ，并且可执行文件位于hxxtp：//www.fofl.it（带有小写的“ L”而不是“ i”）。通过使用视觉上相似的域，受害人不太可能注意到问题。还有更多策略可以使人们远离恶意活动。

启动后，恶意文件将显示一张地图，其中包含似乎是从约翰·霍普金斯大学复制的数据。这绝不是一种新策略，但是几乎可以肯定的是，在勒索软件加密受感染的PC文件时，可以让受害者分心。

到目前为止，看来该攻击已由知道他们在做什么的专业黑客发起。但是，当专家剖析勒索软件并了解其工作原理时，他们意识到攻击者可能并不那么复杂。

Unicorn勒索软件不是一个复杂的威胁

研究人员怀疑袭击者是意大利人。网络钓鱼电子邮件中明显缺少语法错误，并且代码中残留的一些工件表明编写该恶意软件的人称为Leonardo。

莱昂纳多似乎是希腊神话的粉丝。赎金通知书宣布，阿斯克勒庇俄斯教职员工的蛇心烦意乱，新时代即将来临。将文件的加密与普罗米修斯的大火相提并论，受害者被告知，支付300欧元（约330美元）的赎金，他们就有机会赎回自己“多年的罪恶和虐待”。

赎金记录包括要去钱的比特币地址，以及支付赎金后受害者必须使用的电子邮件地址，才能与黑客取得联系。快速检查发现，到目前为止，赎金票据中包含的比特币地址未进行任何交易，这同样是因为黑客的电子邮件地址似乎无效。看起来Leonardo（或坐在Unicorn勒索软件另一端的人）绝对无意帮助您找回文件。

值得庆幸的是，您实际上并不需要他们的帮助。对勒索软件的分析表明，用于解密文件的密码以纯文本形式发送，可以从通信日志中检索。

Unicorn勒索软件中的缺陷在某种程度上弥补了聪明的社会工程技术的不足，使攻击的危险性降低了一些。不过，竞选活动不应被低估。在任何时候，攻击者都可以使用更强大的勒索软件，从而引发各种问题。