Emotet torna con una nuova campagna che prende di mira obiettivi italiani per diffondere email con allegato un archivio compresso in formato ZIP. Protetto da password, il file contiene un Excel con macro malevola. Dunque, dopo cinque mesi di assenza, ritorna anche nel nostro Paese la botnet complice del cyber crimine.
“Anche il malware va in vacanza. Almeno così sembra. Dopo una ‘pausa”, infatti, la botnet Emotet è tornata ad incutere terrore, tramite campagna di posta elettronica spam”, introduce Antonio Pontrelli, Security Analyst di Exprivia.
“La catena di infezione non è cambiata”, commenta Paolo Passeri, Cyber Intelligence Principal di Netskope, ma “l’aspetto interessante di questa campagna consiste su come gli attaccanti abbiano adattato la catena di infezione per bypassare il blocco relativo all’esecuzione delle macro che la suite Microsoft applica di default ai documenti scaricati da internet, ancora una volta facendo leva sul concetto di digital trust delle loro vittime”. Ecco come.
Indice degli argomenti
Il ritorno di Emotet: perché preoccupa
La catena di infezione del malware, che si diffonde via phishing, è la stessa: sfrutta quattro dropurl dalla macro, parzialmente leggibili direttamente dal file XLS, puntando al download della DLL (64bit) Emotet e all’esecuzione tramite comando regsvr32.
“Il pattern di attaccodi Emotet”, infatti, continua Pontrelli, “prevede la diffusione del malware attraverso documenti Excel o Word compromessi inviati via e-mail, utilizzando le tecniche di phishing. L’utente viene indotto con l’inganno ad aprire dei documenti che a loro volta attivano delle macro, con il conseguente download del file DLL di Emotet e il suo caricamento in memoria. Da qui, il malware inizia le sue operazioni, che sono la ricerca e il furto di e-mail da utilizzare nelle successive campagne di spam.
Una volta caricato nella memoria, il malware cerca e ruba email per usarle in future campagne spam e sfrutta payload aggiuntivi come Cobalt Strike od altri malware che comunemente sono responsabili di attacchi ransomware. Quando Emotet era considerato il malware più distribuito nel passato, improvvisamente ha cessato di effettuare spam il 13 giugno 2022. Ma i ricercatori di Cryptolaemus hanno scoperto che è tornato in attività lo scorso 2 novembre.
Cos’è Emotet
“L’osservatorio di CyberSecurity Exprivia, traccia gli indici di compromissione relativi alla matrice Emotet e come si può notare dal grafico seguente, nel 3Q2022, le rilevazioni sono state minime, per poi esplodere nel mese di novembre, considerando che siamo ancora nella prima decade del mese”, prosegue Giuseppe Delli Santi, Security Analyst di Exprivia.
- Trickster (noto anche come TrickLoader e Trickbot) rappresenta un trojan bancario che tenta di accedere ai dati di vari account di accesso dei conti bancari;
- Ryuk: definito come un crypto-trojan o ransomware, cripta i dati e impedisce all’utente del sistema di accedere a tali dati o all’intero sistema”.
“L’obiettivo dei cybercriminali che colpiscono usando Emotet è quello di estorcere denaro alle vittime, minacciando di pubblicare o rilasciare i dati criptati ai quali hanno ottenuto l’accesso. Il malware Emotet prende di mira aziende, organizzazioni e autorità. Si stima inoltre che molte aziende infettate dal malware non abbiano segnalato la violazione per paura di danneggiare la loro reputazione. E’ importante sottolineare che, mentre inizialmente il malware prendeva di mira principalmente aziende e grandi organizzazioni, oggi il trojan colpisce soprattutto i privati”, spiega Delli Santi.
Come si diffonde il trojan Emotet
“Emotet viene diffuso principalmente tramite posta elettronica. Il trojan legge le e-mail da parte degli utenti già infetti e crea contenuti ingannevoli fittizi. In un primo momento, queste email
appaiono legittime e personali, non sembrando email di Spam. Tuttavia, Emotet invia queste email di phishing a contatti archiviati come colleghi di lavoro, personale tecnico”, spiega Delli Santi.
“La maggior parte delle volte, le email contengono un file .doc infetto che il destinatario deve scaricare o un collegamento pericoloso. Come mittente viene sempre visualizzato il nome corretto, facendo credere ai destinatari che il messaggio sia lecito e successivamente venga
scaricato ed eseguito il file malevolo.
Una volta ottenuto il pieno controllo della rete, l’attaccante può decifrare le password degli account compromessi usando attacchi di forza bruta. Altri modi in cui il malware si è diffuso includono l’exploit EternalBlue e le vulnerabilità DoublePulsar nei sistemi Windows, che consentiva l’installazione di malware senza l’interazione dell’utente finale”, continua Delli Santi.
Il ruolo delle macro
“Per impostazione predefinita, Microsoft Office consente all'utente di abilitare il contenuto e di consentire l'esecuzione di macro quando si aprono documenti Office come Word, Excel e persino PowerPoint. Le macro o i contenuti abilitati sono raramente utilizzati dalla maggior parte degli utenti”, sottolinea Delli Santi.
“La maggior parte delle organizzazioni è spaventata o incerta su cosa potrebbe accadere se le macro venissero disabilitate. La creazione di un piano di comunicazione che informi l'organizzazione dell'imminente cambiamento e fornisca agli utenti un modo per richiedere e giustificare la necessità delle macro, ottenere le approvazioni necessarie e la formazione necessaria può aiutare a evitare impatti negativi significativi per l'organizzazione una volta implementate”, avverte Delli Santi.
“Rilevare l'uso di macro all'interno dei programmi di Office non è facile, poiché non esistono eventi di registrazione associati all'uso delle macro. L'unica possibilità è cercare i programmi eseguiti dopo l'avvio dei programmi Office. Spesso il malware utilizza le macro per lanciare un motore di scripting come cscript, wscript o altri linguaggi di scripting. Inoltre, in questo contesto sono stati utilizzati anche PowerShell, WMI o altre utility amministrative di Windows. Le soluzioni EDR (Endpoint Detection and Response) di solito monitorano queste relazioni genitore-figlio e si
attivano quando i documenti Office tentano di eseguire programmi non standard. Allo stesso modo, un'organizzazione che dispone di una registrazione solida e corretta del comportamento degli endpoint può creare dei rilevamenti all'interno della propria soluzione di gestione dei log o SIEM per evidenziare esecuzioni strane di documenti Office”, continua Delli Santi.
Il contributo di Microsoft
Microsoft era corsa ai ripari disabilitando le macro di Excel per bloccare il codice malevolo di default. “Proprio per limitare la diffusione di botnet come Emotet, a partire da aprile 2022, Microsoft aveva rimosso la possibilità di eseguire macro da documenti scaricati da internet con un semplice clic (rimuovendola temporaneamente a luglio, non senza qualche polemica)”, spiega Paolo Passeri.
“In sostanza quando un file viene scaricato da internet (anche in allegato), Microsoft aggiunge una speciale etichetta al documento denominata Mark-of-the-Web (MoTW)”. mette in guardia l’esperto di Netskope: “Se questa etichetta è presente, il documento Office viene aperto in modalità ‘Protected View’, impedendo in questo modo l’esecuzione di macro potenzialmente dannose”.
Se nulla è cambiato sotto il profilo del vettore d’attacco, c’è una novità: ora Emotet bypassa il blocco di Microsoft all’esecuzione delle macro. Il nuovo allegato template di Excel contiene le istruzioni per aggirare Protected View di Microsoft.
Le modifiche
“Proprio per bypassare questi controlli”, continua Paolo Passeri, “gli attaccanti hanno modificato il modello del file Excel utilizzato per effettuare il download del payload malevolo di Emotet, inserendo le istruzioni necessarie ad aggirare la modalità ‘Protected View’ (che consistono nel copiare il file all’interno della cartella ‘Templates’ di Office). Aggiungerei con una certa cura, visto che la procedura è differente a seconda delle versioni di Office”.
I dettagli
“Lo stadio iniziale di Emotet è un documento Office malevolo”, commenta Delli Santi, “che abusa delle macro VBA per scaricare ed eseguire il payload. In questo nuovo sistema di delivery, Emotet abusa del formato di file LNK (alias MS-SHLLINK e Shortcut) per eseguire uno script PowerShell”.
continua Delli Santi: “Utilizzando lo strumento LNK parser, è possibile estrarre ulteriori dettagli mediante un apposito comando PowerShell. Il comando eseguito da PowerShell salva l'output in un file nella cartella temporanea dell'utente.
Lo script decodificato contiene un elenco di URL in cui è ospitato il payload di Emotet. Una volta eseguito, itera l'elenco ed effettua una richiesta utilizzando la funzione Invoke-WebRequest di
PowerShell. Se il binario viene scaricato con successo, salva il file nella directory temporanea di Windows e lo esegue utilizzando regsvr32.exe.
Il payload principale di Emotet è crittografato e memorizzato nelle risorse di entrambi i pacchetti che, nonostante alcune differenze, utilizzano la stessa tecnica per decifrare e caricare Emotet.
Una volta in esecuzione, il packer alloca ed esegue uno shellcode, responsabile del processo di decodifica del payload.
Quindi, carica i dati della risorsa e li decifra utilizzando un semplice algoritmo rolling XOR con una piccola stringa come chiave, rivelando il payload di Emotet.
Mediante un apposito script in python, è possibile decriptare staticamente ed estrarre il payload di Emotet dal loader/packed compresso.
Per la fase di Persistence, Emotet crea un servizio di Windows che si esegue tramite regsvr32.exe.
Conviene precisare che tutte le stringhe importanti utilizzate da Emotet sono criptate e si trovano nella sezione PE .text .
Per gli indirizzi C2, Emotet utilizza la stessa logica, ma i dati si trovano nella sezione PE .data L'opzione migliore e più semplice per ridurre la probabilità che documenti Office dannosi possano
paralizzare un'organizzazione con malware o ransomware è quella di disabilitare le macro di Office e creare un elenco di autorizzazioni per gli utenti che hanno assolutamente bisogno di eseguire
macro o contenuti abilitati. Gli utenti con eccezioni per l'esecuzione di macro o contenuti abilitati devono essere monitorati in via prioritaria per verificare la presenza di comportamenti malevoli attraverso esecuzioni di Office parent-child sospette.
Bloccare tutti i documenti Office che arrivano nell'organizzazione non è fattibile a causa dell'uso diffuso dei prodotti Microsoft Office. Tuttavia, alcuni gateway di scansione delle e-mail offrono la
scansione malicious document riducendo efficacemente la quantità di documenti Office dannosi ricevuti da un'organizzazione
Qualora non fosse presente un sistema di Active Directory, il blocco delle macro può essere ottenuto anche aggiungendo a ciascun sistema un'impostazione del Registro di sistema per disabilitare l'uso delle macro come riportato di seguito:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\<version>\word\security
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\<version>\excel\securit
y
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\<version>\powerpoint\s
ecurity”.
Quanto è pericoloso il malware
“Nel corso del tempo si è giunti alla conclusione che Emotet sia un software altamente oneroso con un enorme potere distruttivo. Infatti è senza dubbio uno dei malware più complessi e pericolosi della storia”, avverte Giuseppe Delli Santi.
“Rappresenta un virus polimorfico, ossia il suo codice cambia leggermente ogni qual volta vi si accede.
Ciò rende difficile l’identificazione del virus tramite i software anti-virus, molti dei quali eseguono ricerche basate sulla firma. Successivamente il malware attacca anche le reti WI-Fi, eseguendo la
scansione di tutte le reti wireless nelle vicinanze. Inoltre, usando un elenco di password, il virus tenta di ottenere l’accesso alle reti e infettare altri dispositivi”.
Come proteggersi
“Per potersi proteggere da Emotet e altri Trojan, non è sufficiente fare affidamento esclusivamente su programmi anti-virus”, spiega Delli Santi. “Rilevare il virus polimorfico è solo il primo passo per gli utenti finali.
Tuttavia, non esiste una soluzione che fornisca una protezione al 100% contro Emotet o altri Trojan in continua evoluzione. Adottando misure organizzative e tecniche, è possibile ridurre al minimo il rischio di infezione.
Affinché ci si possa proteggere dal malware, è necessario isolare il device coinvolto se è connesso a una rete al fine di ridurre il rischio di diffusione del malware.
Poiché Emotet è polimorfico, un sistema non infetto può essere rapidamente re-infettato se viene connesso a una rete infetta. Quindi è proficuo eseguire la pulizia di tutti i device connessi alla rete
al fine di ridurre la diffusione del malware nella rete corrente”, avverte Delli Santi.
“Probabilmente, nel mondo pre-pandemia”, osserva Passeri, “una procedura relativamente laboriosa per eseguire le macro avrebbe scoraggiato l’utente, un po’ per pigrizia, un po’ per la diffidenza proveniente dalla scarsa abitudine ad effettuare operazioni aggiuntive per aprire un documento, facendo risuonare un possibile campanello di allarme da parte dell’utente, e in ultima istanza vanificando l’attacco”.
“Oggi gli utenti tendono a fidarsi maggiormente del contenuto ricevuto, ed essendo abituati ad interagire con molteplici servizi online, non sono particolarmente sorpresi se l’accesso alle informazioni ricevute richiede alcuni passi aggiuntivi che forse in passato gli utenti stessi non avrebbero eseguito”, mette in guardia Passeri.
Serve maggiore consapevolezza. “La ‘digitalizzazione’ delle relazioni personali e professionali ha portato ad un innalzamento del livello di interazione con la tecnologia da parte di di molti utenti. Purtroppo questo innalzamento non sempre è stato assistito da un aumento equivalente del livello di formazione: questa nuova campagna di Emotet è un esempio emblematico di come gli attaccanti abbiano rapidamente monetizzato questo aspetto”, conclude Passeri.
“Secondo fonti di Threat Intelligence”, conclude Delli Santi, “possiamo assistere a un radicale aumento della minaccia negli ultimi giorni, poiché tale vulnerabilità sarà sempre in continua espansione”.
Cos’è EmoCheck: il suo principale scopo
“EmoCheck è uno strumento che può essere usato per controllare la presenza nel sistema di un’infezione causata da Emotet”, illustra Giuseppe Delli Santi. “Poiché Emotet è polimorfico, EmoCheck non può garantire che il sistema non sia
infetto.
Tale strumento rileva le stringhe di caratteri tipiche allertando l’utente finale qualora fosse presente un potenziale Trojan”.
