mercoledì 16 gennaio 2019

Emotet Alert: nuova campagna spam diffonde una nuova e più pericolosa versione del trojan


Emotet ha segnato un periodo di attività ridotta la scorsa settimana, ma ieri alcuni ricercatori di sicurezza hanno individuato una nuova campagna di email di spam che distribuisce una nuova versione di questo trojan: nuove versione che presenta nuove funzionalità dannose.

Emotet in breve
Ricordiamo che Emotet, recante inizialmente solo funzionalità di trojan bancario, è attualmente annoverabile tra i malware modulari: è cioè pensato per subire l'aggiunta di altri payload che ne possono aumentare le funzionalità dannose (infostealer, ransomware ecc..). La costante evoluzione delle funzioni incluse in Emotet, lo renderanno per parecchio tempo uno dei protagonisti della Top10 dei malware di quest'anno. 

La campagna di distribuzione
Il payload della nuova versione di Emotet viene diffuso tramite email di spam in diverse lingue, secondo quali sono gli utenti bersaglio: lo scopo del contenuto delle email, come sempre, è indurre l'utente a scaricare l'allegato. L'allegato contiene il codice necessario al download e all'installazione del malware.

Fonte: bleepingcomputer.com

In alcuni casi le email non recano il documento come allegato, ma, al contrario, contengono un collegamento diretto al malware.

L'evoluzione continua: la nuova versione di Emotet
Questo malware è in costante evoluzione: la campagna di spam attuale diffonde una nuova versione, che presenta alcune modifiche e aggiunte rispetto alle precedenti. Ad esempio, la versione attuale verifica se l'indirizzo IP del ricevente/vittima sia stato o meno inserito in blackilist/spamlist in famosi servizi come Spamhaus, SpamCop o SORBS. 

Fonte: bleepingcomputer.com

Lo scopo è chiaro: questa verifica può consentire agli attaccanti di consegnare più email nelle caselle di posta delle vittime senza subire respingimenti dai filtri antispam. Sempre allo scopo di evadere i filtri antispam, Emotet vede anche l'aggiunta della capacità di modificare l'oggetto dell'email. 

Strani reindirizzamenti
Un altro cambiamento è l'uso del reindirizzameno HTTP 301. Il 301 è un codice di stato del protocollo HTTP tramite il quale un server comunica al client che la pagina web richiesta non si trova più all'URL originale, ma che è stata spostata in via definitiva e permanente. Una modifica che i ricercatori di sicurezza non riescono a spiegare, dato che il reindirizzamento punta sullo stesso URL. L'unica differenza notabile tra la prima e la seconda richiesta è che la prima ha un messaggio keep-alive nell'header, mentre la seconda richiesta no.  La connessione keep-alive è un metodo che consente le comunicazioni HTTP server-client sulla stessa connessione TCP invece che aprire una nuova per ogni richiesta: chiamata anche "Connessione persistente (persistant connection)" permette di ridurre i tempi di download. 


I ricercatori fanno anche sapere che il malware è ospitato, nella stragrande maggioranza dei casi, su siti web compromessi.

Il metodo di distribuzione
Le vittime ricevono il malware tramite la classica macro nascosta in un documento Word contenente, apparentemente, una fattura, una conferma di pagamento, una conferma di spedizione ecc... La routine di infezione di Emotet si avvia sul sistema già quando la vittima lancia il documento fake: il codice integrato nella macro scarica e installa il malware. Ciò avviene prima di tutto con l'apertura di PowerShell, che conttatta il centro di distribuzione di Emotet per recuperare il payload. Il payload quindi viene scaricato e installato sul computer della vittima.

Approfondimento >> In corso una campagna di diffusione del trojan bancario Emotet: sfrutta una nuova tecnica per ingannare gli utenti

Nessun commento:

Posta un commento