venerdì 20 settembre 2019

Emotet si evolve ancora: nuovi template, nuove tecniche di infezione, nuovi sottogruppi di diffusione


Il Cert-Pa ha diramato un nuovo alert riguardante il famigerato malware Emotet, il quale, dopo qualche mese di inattività, ha ripreso le attività di diffusione via campagne di email di spam. Le versioni in diffusione presentano alcune novità, che riteniamo utile approfondire dato che Emotet è in diffusione anche in Italia con specifiche campagne in italiano rivolte contro utenti italiani. 

Il ricercatore di sicurezza Lawrance Abrams ha analizzato email, allegati e catena di infezione di questa nuova ondata, che ha segnato la riattivazione della botnet di Emotet, inattiva ormai da qualche mese. Centrando l'attenzione, sopratutto, sul fatto che Emotet non è più solo un trojan bancario per il furto di credenziali, ma un potente ed efficace distributore di altri malware. 

1. I nuovi template dei documenti di Emotet
Emotet, nel precedente periodo di attività, utilizzava documenti Word dannosi che richiedevano di "Accettare l'accordo di licenza" (mostrato in un apposito bottone) per poter utilizzare Microsoft Word: cercava cioè di convincere l'utente che la licenza di Microsoft Office fosse scaduta e che, per abilitare la visualizzazione dei contenuti e la possibilità di modifica degli stessi, occorresse accettare un accordo di licenza. Lo scopo era ovviamente quello di indurre l'utente ad abilitare la macro dannosa contenuta nel documento Word.


Ora lo scopo è identico, ma cambia la modalità: il template del documento utilizza come esca la "Visualizzazione Protetta". L'utente che tenti di aprire l'allegato Word compromesso visualizza un avviso nel quale lo si avvisa che "l'azione non può essere completata perchè il file è aperto in Visualizzazione Protetta. Alcuni contenuti attivi sono disabilitati. Clicca su Abilita Contenuto e Abilita Modifica. "


L'avvio dell'infezione è comunque rimasto identico: una volta abilitata la macro integrata nel documento, verrà eseguito sul computer uno script che installerà Emotet. 

2. Le email contengono anche link di download
Se la maggior parte delle email di spam di Emotet includono alllegati, alcuni includono anche link che permettono alla vittima anche il download del documento dannoso. Un esempio di questo tipo di template è in diffusione proprio in Italia:



Questo template email consente ad Emotet di scavalcare il livello di protezione che filtra / blocca gli allegati contenuti nelle email di spam. 

3. Il payload è installato sia con WScript che con PowerShell
Se la maggior parte dei report riguardanti le nuove campagne di Emotet si concentrano sugli allegati dannosi che generano PowerShell, vi sono anche altre tipologie che utilizzano invece WScript per eseguire uno script JScrpti per installare il payload. In questo caso, quando l'allegato viene aperto e la macro abilitata, viene creato un file JSE (JScritp Encoded) nella cartella  %UserProfile%: questo viene eseguito con WScript come mostrato sotto


4. Rilevati nuovi sottogruppi della botnet Emotet
Un gruppo di ricercatori che si occupa di tracciare Emotet ha recentemente fatto sapere, via Twitter, che Emotet si è diviso in tre "Epoch", contrassegnati come E1, E2, E3. Questi "Epoch" sono sottogruppi della botnet Emotet, che usano la propria infrastruttura (diversi server di comando e controllo, diversi payload e talvolta persino diversi bot). Probabilmente questi "Epoch" sono usati per colpire in paesi diversi, distribuendo differenti payload a seconda del paese. Oppure ancora non è da escludere che possano fungere da infrastruttura ridondante. 

Ricordiamo che la botnet Emotet è un MaaS (Malware as a Service): il gruppo che ne ha la gestione affitta l'infrastruttura anche ad altri distributori di malware. Ecco perchè si dice che Emotet non è più solo un malware, ma anche uno dei più efficienti vettori di distribuzione di altri malware. Come abbiamo scritto qualche tempo fa, il gruppo dietro TrickBot ha noleggiato la botnet per distribuire nuove versioni del loro malware. 

Nessun commento:

Posta un commento