Dopo una pausa di cinque mesi, una nuova variante di Emotet torna a mietere vittime sfruttando una campagna di malspam attiva in tutto il mondo, spesso in abbinamento combo con il malware Trickbot. E anche questa volta, il malware risulta essere particolarmente attivo in Italia.
La nuova variante del malware bancario Emotet si sta diffondendo mediante l’invio di messaggi di posta elettronica contenenti link o allegati malevoli, come ad esempio script PowerShell o documenti Office contenenti pericolose macro.
Rispetto al passato, i criminal hacker hanno aggiunto componenti aggiuntive ad Emotet che, oltre al furto di credenziali bancarie e di accesso ai sistemi target, consentono al malware di diffondersi e ottenere una efficace persistenza anche su altre macchine collegate al sistema infetto originario, che vengono poi sfruttate per inviare altre e-mail di spam.
Indice degli argomenti
Trickbot in accoppiata con Emotet
Come se non bastasse, la nuova variante di Emotet è ora in grado di scaricare sulla macchina infetta anche una copia di altri due pericolosi virus, già noti agli esperti di sicurezza informatica: TrickBot (un altro banking trojan) e QakBot (un infostealer con caratteristiche simili a quelle dei worm).
La combo Trickbot-Emotet si completa spesso con il ransowmare Ryuk, che viene fatto scaricare in automatico alle vittime dei due malware precedenti.
I dettagli della nuova variante di Emotet
La catena infettiva della nuova variante di Emotet inizia subito dopo che la vittima ha scaricato ed eseguito i file malevoli allegati alle e-mail infette.
E-mail che, sfruttando un vecchio trucco già usato in passato da Emotet, informano la vittima designata in merito all’invio di un documento in risposta a thread esistenti. Ad esempio, da alcuni campioni del malware intercettati dagli esperti di sicurezza, si evince che in alcuni casi Emotet chiede ai destinatari di aprire un allegato chiamato Modulo – 17 luglio 2020.doc, mentre in altri chiede di scaricare una presunta fattura non pagata. In tutti i casi, gli allegati del documento contengono una macro molto offuscata e chiedono ai destinatari di abilitarne il contenuto.
A questo punto, viene avviato il Windows Management Instruction che, a sua volta, esegue uno script PowerShell per recuperare il binario di Emotet da un sito web remoto compromesso. Infine, il payload viene eseguito e invia una conferma ad uno dei server di comando e controllo (C2) di Emotet. il payload avvia subito una connessione Internet necessaria a scaricare e installare il malware vero e proprio.
Una volta che è attivo, Emotet inizia a ricevere dal server di comando e controllo nuove istruzioni ed eventuali aggiornamenti del codice malevolo. In questo modo, gli attaccanti sono in grado di installare nuove versioni del malware e i già citati trojan bancari e di impartire ad Emotet l’ordine di rubare informazioni riservati quali credenziali di accesso a servizi finanziarie, nomi utente e password e indirizzi e-mail.
I consigli per difendersi
I ricercatori di sicurezza che stanno analizzando la nuova campagna infettiva di Emotet, hanno rilevato nuovamente una notevole attività del malware nel nostro Paese per colpire sia utenti privati che aziende, confermando che l’ampliamento delle sue funzionalità ha trasformato il trojan bancario in un servizio di tipo Malware-as-a-Service (MaaS), un vero e proprio framework molto noto nei principali market-place del Dark Web, ampliando così la platea dei suoi utilizzatori.
Per prevenire eventuali cyber attacchi condotti mediante la nuova variante di Emotet, è importante innanzitutto verificare scrupolosamente le e-mail ricevute e attivando misure aggiuntive, come il blocco delle macro Office che attivano connessioni verso Internet.
È opportuno, inoltre, adottare policy di sicurezza in merito all’esecuzione di script PowerShell sulle macchine aziendali. Così come è molto utile prevedere sessioni periodiche di formazione degli utenti aziendali per fornire loro gli strumenti giusti e le nozioni necessarie al riconoscimento delle campagne di phishing.
Gli analisti del CSIRT Italia, inoltre, ribadiscono l’importanza di:
- effettuare sempre un controllo mirato all’accertamento della veridicità del messaggio quando si riceve un’e-mail contenente un allegato o un link. Se possibile, ove la mail risulti molto verosimile o non si sia mai ricevuto alcun file dal presunto mittente, assicurarsi con lo stesso per altre vie (es. telefonata) del reale invio di una mail con l’invito a scaricare un file o con il file in allegato;
- non abilitare le macro di Office a meno che non sia strettamente necessario;
- aggiornare sempre i propri sistemi di sicurezza;
- in caso di ricezione di mail sospette effettuare una segnalazione al proprio responsabile della sicurezza;
- implementare gli indicatori di compromissione riportati di seguito sui propri apparati di sicurezza.
