Sono ormai molteplici i ricercatori di sicurezza e i major vendor che considerano Emotet la minaccia principale del 2018, per evidenti "meriti sul campo". Minaccia che col 2019 potrebbe manifestarsi con ancora più forza.
A partire da Novembre, è in corso una vasta campagna di spam per distribuire questo trojan bancario:
centinaia di migliaia sono gli utenti infetti in America Latina, Europa
e altre parti del mondo. Vediamo quindi nel dettaglio il funzionamento
di questa campagna.
Per approfondire >>
L'evoluzione di Emotet: in 4 anni si evolve da trojan a complesso distributore di minacce
Il misterioso e (quasi) invisibile quadratino neroNegli ultimi anni i cyber criminali si sono approfittati molteplici volte della suite di Microsoft Office per
distribuire ogni tipo di malware, sfruttando sia le vulnerabilità del
software stesso che le macro incorporate nei file MS. In questa
specifica campagna invece viene sfruttato un downloader incorporato in un file Office:
una tecnica leggermente diversa dalla solita macro da abilitare, ma che
può creare difficoltà agli utenti meno esperti nel riconoscimento della
minaccia.
L'attacco inizia con l'arrivo nella inbox dell'account email della
vittima di un messaggio di posta elettronica: in questo caso le email
sono di vario tipo, senza alcuna caratteristica peculiare. Queste email
si limitano semplicemente a tentare di far credere all'utente che il file MSOffice allegato sia importante (una fattura, un documento importante da leggere e firmare ecc...), così da indurlo ad aprire il documento.
Una tipica email della campagna di distribuzione di Emotet |
Fin qui, nulla di nuovo: se l'utente decide di scaricare l'allegato email e di aprirlo, riceverà subito la richiesta di abilitare le macro.
In questo caso abilitare la macro sembra necessario perchè il documento
è stato creato con Office 365: in realtà ingannare l'utente e fargli
abilitare la macro è un passaggio irrinunciabile per il cyber criminale,
perchè gli consente di far eseguire le funzioni incorporate nel file.
Le novità iniziano qui: la macro in oggetto, se analizzata in dettaglio, è estremamente leggera
e, almeno a primo sguardo, non sembra pensata, come succede quasi
sempre, per connettersi ad un sito web dove è ospitato del contenuto
dannoso. Il codice della macro è pensato per la sola funzione di leggere il testo da un oggetto. E di quale oggetto parliamo?
L'oggetto c'è, ben nascosto, incorporato in maniera quasi impercettibile nella pagina. Riprendendo la foto precedente si può notare, in alto a sinistra nella pagina, un piccolissimo quadratino nero.
Espandendo il piccolo quadratino nero, ne visualizzeremo il contenuto.
Questa casella di testo contiene un comando "cmd" che apre uno script PowerShell che tenterà la connessione a 5 diversi siti per scaricare il payload che, in questo caso, è una variante offuscata di Emotet.
Inizia l'infezioneUna volta che il payload è stato scaricato, viene immediatamente seguito: la prima operazione compiuta è l'ottenimento della persistenza sul sistema. Completato questo stadio, Emotet segnala la situazione al proprio server C&C. In alcuni casi i ricercatori hanno notato che, conclusa questa fase iniziale, possono verificarsi nel tempo ulteriori download:
parliamo del download e installazione di un ulteriori moduli di attacco
per Emotet, payload secondarie per ulteriori azione dannose sul sistema
infetto, altri malware.
I moduli aggiuntiviI vari moduli aggiuntivi forniscono ad Emotet ulteriori capacità di
attacco che possono compromettere il dispositivo utente, rubare dati
sensibili e credenziali, propagarsi nella rete, accogliere informazioni
sensibili ecc..
ConclusioneQuesta tecnica di infezione non è affatto nuova: l'unica novità è nel
modo con cui avviene l'esecuzione di Emotet, nascosto in maniera subdola
nel file Word. La consapevolezza dell'esistenza di questo tipo di
tecniche di infezione è sicuramente utile, per mettere in guardia gli
utenti e mantenere il giusto livello di attenzione (inutile ribadirlo,
forse, ma è sconsigliabile abilitare macro contenute in documenti
provenienti da fonti sconosciute). La presenza di una solida soluzione
antivirus con protezione multi-livello, costantemente aggiornata, è
un'altra necessità per proteggersi da questi tipi di attacchi