venerdì 15 febbraio 2019

Emotet torna alla carica: nuova variante evita l'individuazione da parte degli antivirus


Del trojan Emotet abbiamo parlato recentemente, come un dei "Top 10 Malware" del 2019:  che stia diventando uno strumento malware estremamente pericoloso è un dato di fatto confermato anche da uno specifico avviso di sicurezza diramato dal CERT-USA nel Luglio 2018, dall'attenzione della comunità dei ricercatori di sicurezza, ma anche dal continuo investimento che i suoi gestori stanno facendo nel migliorarlo e affinarlo costantemente.

Emotet in breve
Emotet, conosciuto anche come Geodo o Heodo, è un trojan modulare sviluppato per rubare, principalmente, informazioni bancarie o finanziarie come le credenziali di accesso all'home banking o i wallet di criptovalute. Oltre a ciò, esfiltra dati sensibili, credenziali di login di svariate tipologie di servizi e informazioni personali. Non viene mai da solo, anzi, funge da distributore di altri trojan bancari, malware per il furto dati o bot modulari altamente personalizzabili come Trickbot.  Bersaglia utenti in tutto il mondo, con una particolare attenzione però a utenti statunitensi ed europei.

La nuova campagna

E' stata individuata "in the wild" una (ennesima) nuova versione, alla quale è stata aggiunta la capacità di nascondersi ai software anti-malware incorporando le macro dannose necessarie al download del payload principale entro file XML spacciati per documenti Word. 

In realtà i ricercatori di Menlo Security hanno individuato questa variante già  a metà Gennaio, ma, in questi giorni, quella variante di Emotet è distribuita in due diverse versioni: la prima (circa l'80% del totale) usa, come detto,  file XML dannosi camuffati da documenti DOC.  Nel dettaglio, il file XML contiene un header XML standard, ma anche dei tag di Microsoft Word Document. Questo è seguito da dati criptate in Base64, i quali contengono il codice macro VBA compresso e offuscato. Il file è contrassegnato dall'estensione .doc. 

Il secondo tipo di documento dannoso, distribuito invece nel 20% dei casi analizzati, è un file Word standard contenente il codice macro dannoso.

La procedura di infezione è piuttosto complessa e segue uno schema sequenziale, nel quale lo script dannoso iniziale genera più processi che lanceranno uno script Powershell necessario a scaricare il payload di Emotet nella cartella TEMP della macchina bersaglio.  Una volta "approdato" sulla macchina bersaglio, Emotet viene eseguito e si connette in loop ad una lista di URL che probabilmente altro non sono che i server di comando e controllo degli attaccanti: il loop si interrompe solo quando almeno una connessione ha successo. 

Questa nuova capacità di evasione dell'individuazione recentemente aggiunta a Emotet è in linea con le modifiche osservate nelle precedenti versioni. Il CERT-USA lo ha già denunciato nell'avviso che abbiamo menzionato nell'incipit di questo articolo:

"Emotet è un trojan bancario polimorfico capace di evadere l'individuazione basata su firma. E' dotato di molteplici metodi per il mantenimento della persistenza, incluso l'auto avvio di servizi e chiavi di registro. Usa librerie DLL modulari per evolvere e aggiornare continuamente le proprie capacità. Inoltre è dotato di strumenti di individuazione delle macchine virtuali e può generare falsi indicatori qualora venga avviato in un ambiente virtuale".

Schema di infezione. Fonte: bleepingcomputer.com

Le campagne di diffusione (passato e presente)
E' noto per essere molto attivo e si presenta in campagne malware a cadenza quasi mensile: a Ottobre era in diffusione una versione capace di sottrarre gli accessi email delle vittime, a Novembre invece, poco prima di avviare ulteriori campagne, ha spostato la propria infrastruttura di comando e controllo negli Stati Uniti. La campagna di Novembre sfruttava, come vettori, email pensate per sembrare provenienti da istituzioni finanziarie di vario genere o (negli USA) come email di auguri ai dipendenti per il Giorno del Ringraziamento. 

A Gennaio è stata messa in distribuzione una variante aggiornata in grado di verificare se l'IP del destinatario/vittima fosse presente in blacklist o spamlist di servizi come SPamhaus, SpamCop o SORBS. 

Qualche riferimento per approfondire Emotet

Nessun commento:

Posta un commento