È stata rilevata una nuova campagna malspam, denominata Operation Reacharound, volta a ridistribuire il famigerato framework Emotet attraverso l’impiego di un’altra infrastruttura criminale afferente al trojan Trickbot.
Dunque, dopo quasi un anno dallo smantellamento di Emotet con l’operazione LadyBird, il malware considerato più pericoloso del mondo dall’Europol è di nuovo attivo e sta ricostruendo la sua botnet servendosi di Trickbot come punto di ingresso sui sistemi precedentemente infettati da quest’ultimo.
In particolare, la variante rilevata del loader di Emotet conterrebbe nuovi comandi eseguibili dagli attaccanti per distribuire payload malevoli come i ransomware Ryuk, Conti, ProLock e Egregor o lo stesso Trickbot e il trojan Qbot.
Indice degli argomenti
La tipologia di documenti allegati
Dal report condiviso dal ricercatore di sicurezza Brad Duncan si rileva come il nuovo Emotet utilizzi catene di risposta a e-mail con oggetti relativi a wallet persi, fatture fiscali e documenti contabili.
In tutti i casi, i vari modelli di documenti allegati, una volta aperti, propinano motivazioni differenti per le quali gli incauti utenti dovrebbero abilitare i contenuti per una corretta visualizzazione. In realtà, dando seguito alla richiesta delle macro malevole annidate negli allegati, le vittime avvieranno con un comando PowerShell la catena d’infezione.
La nuova catena d’infezione di Emotet
In particolare, la catena di infezione prevederebbe l’utilizzo di e-mail di phishing contenenti allegati Word ed Excel con macro malevole, archivi ZIP protetti da password e testi con riferimenti a conversazioni presumibilmente raccolte da host Windows precedentemente infetti.
Qualora le macro presenti nei documenti venissero abilitate, il codice malevolo al loro interno preleverebbe da siti WordPress compromessi una DLL contenente il loader salvandolo nel computer della vittima all’interno della directory C:/ProgramData e in una cartella casuale all’interno di %LocalAppData% per essere eseguita successivamente mediante il comando legittimo di Windows rundll32.exe.
Infine, la DLL verrebbe resa persistente tramite un aggiornamento della chiave di registro di Windows HKCU/Software/Microsoft/Windows/CurrentVersion/Run.
Emotet, in attesa di comandi provenienti dall’infrastruttura di comando e controllo, trasformerebbe in tal modo l’host infetto in uno spambot.
Come difendersi dal ritorno di Emotet
Purtroppo, come era prevedibile, l’operazione “LadyBird” è stata solo una battaglia vinta dalle forze dell’ordine contro i cyber criminali.
Da domenica sera le infezioni attive di TrickBot hanno iniziato ad eseguire il loader Emotet su dispositivi già infetti, dando origine così alla nuova botnet dedicata all’attività di spamming attualmente in corso.
Occorre urgentemente che tutti gli amministratori di rete e professionisti della sicurezza ne monitorino gli sviluppi. Il progetto di ricerca “Abuse.ch” ha rilasciato un elenco di 245 server di comando e controllo che si consiglia di implementare sui propri apparati di sicurezza per impedire alla botnet di rilasciare ulteriori payload sui dispositivi compromessi.
Si consiglia, altresì, di fornire periodiche sessioni di formazione di security awareness e di prestare sempre attenzione agli URL che si intende visitare o che vengono proposti da comunicazioni improbabili.
