Sono ormai molteplici i ricercatori di sicurezza e i major vendor che considerano Emotet la minaccia principale del 2018, per evidenti "meriti sul campo". Minaccia che col 2019 potrebbe manifestarsi con ancora più forza.
A partire da Novembre, è in corso una vasta campagna di spam per distribuire questo trojan bancario: centinaia di migliaia sono gli utenti infetti in America Latina, Europa e altre parti del mondo. Vediamo quindi nel dettaglio il funzionamento di questa campagna.
Per approfondire >>
L'evoluzione di Emotet: in 4 anni si evolve da trojan a complesso distributore di minacce
Per approfondire >>
L'evoluzione di Emotet: in 4 anni si evolve da trojan a complesso distributore di minacce
Il misterioso e (quasi) invisibile quadratino nero
Negli ultimi anni i cyber criminali si sono approfittati molteplici volte della suite di Microsoft Office per distribuire ogni tipo di malware, sfruttando sia le vulnerabilità del software stesso che le macro incorporate nei file MS. In questa specifica campagna invece viene sfruttato un downloader incorporato in un file Office: una tecnica leggermente diversa dalla solita macro da abilitare, ma che può creare difficoltà agli utenti meno esperti nel riconoscimento della minaccia.
L'attacco inizia con l'arrivo nella inbox dell'account email della vittima di un messaggio di posta elettronica: in questo caso le email sono di vario tipo, senza alcuna caratteristica peculiare. Queste email si limitano semplicemente a tentare di far credere all'utente che il file MSOffice allegato sia importante (una fattura, un documento importante da leggere e firmare ecc...), così da indurlo ad aprire il documento.
Una tipica email della campagna di distribuzione di Emotet |
Fin qui, nulla di nuovo: se l'utente decide di scaricare l'allegato email e di aprirlo, riceverà subito la richiesta di abilitare le macro. In questo caso abilitare la macro sembra necessario perchè il documento è stato creato con Office 365: in realtà ingannare l'utente e fargli abilitare la macro è un passaggio irrinunciabile per il cyber criminale, perchè gli consente di far eseguire le funzioni incorporate nel file.
Le novità iniziano qui: la macro in oggetto, se analizzata in dettaglio, è estremamente leggera e, almeno a primo sguardo, non sembra pensata, come succede quasi sempre, per connettersi ad un sito web dove è ospitato del contenuto dannoso. Il codice della macro è pensato per la sola funzione di leggere il testo da un oggetto. E di quale oggetto parliamo?
L'oggetto c'è, ben nascosto, incorporato in maniera quasi impercettibile nella pagina. Riprendendo la foto precedente si può notare, in alto a sinistra nella pagina, un piccolissimo quadratino nero.
Espandendo il piccolo quadratino nero, ne visualizzeremo il contenuto.
Questa casella di testo contiene un comando "cmd" che apre uno script PowerShell che tenterà la connessione a 5 diversi siti per scaricare il payload che, in questo caso, è una variante offuscata di Emotet.
Inizia l'infezione
Una volta che il payload è stato scaricato, viene immediatamente seguito: la prima operazione compiuta è l'ottenimento della persistenza sul sistema. Completato questo stadio, Emotet segnala la situazione al proprio server C&C. In alcuni casi i ricercatori hanno notato che, conclusa questa fase iniziale, possono verificarsi nel tempo ulteriori download: parliamo del download e installazione di un ulteriori moduli di attacco per Emotet, payload secondarie per ulteriori azione dannose sul sistema infetto, altri malware.
I moduli aggiuntivi
I vari moduli aggiuntivi forniscono ad Emotet ulteriori capacità di attacco che possono compromettere il dispositivo utente, rubare dati sensibili e credenziali, propagarsi nella rete, accogliere informazioni sensibili ecc..
Conclusione
Questa tecnica di infezione non è affatto nuova: l'unica novità è nel modo con cui avviene l'esecuzione di Emotet, nascosto in maniera subdola nel file Word. La consapevolezza dell'esistenza di questo tipo di tecniche di infezione è sicuramente utile, per mettere in guardia gli utenti e mantenere il giusto livello di attenzione (inutile ribadirlo, forse, ma è sconsigliabile abilitare macro contenute in documenti provenienti da fonti sconosciute). La presenza di una solida soluzione antivirus con protezione multi-livello, costantemente aggiornata, è un'altra necessità per proteggersi da questi tipi di attacchi.
Nessun commento:
Posta un commento