giovedì 19 settembre 2019

Nuovo alert CERT-PA: Emotet riprende le operazioni di diffusione, anche in Italia


Il Cert-Pa ha diramato ieri un nuovo alert riguardante il famigerato malware Emotet, il quale, dopo qualche mese di inattività, ha ripreso le attività di diffusione via campagne di email di spam. 

La campagna in corso
La campagna in corso, come detto, è una campagna di email di spam rivolta sia a utenti privati che aziende: è in corso in tutto il mondo, ma le email sono personalizzate in base al paese in cui devono essere distribuite. Sia oggetto che testo che allegato sono creati ad hoc e nel caso dell'Italia, il testo è scritto in italiano piuttosto corretto: l'email presenta contenuti apparentemente legati a problemi finanziari, come fatture scadute ed è organizzata come fosse la prosecuzione di una conversazione precedentemente avviata.  

Fonte: https://www.cert-pa.it

Il vettore del malware, responsabile dell'avvio della catena di infezione, è appunto un documento Office che veicola diverse nuove varianti del malware. L'utente viene invitato ad aprire il documento allegato (riscontriamo comuni tecniche di ingegneria sociale) ed abilitare la macro. Se questa viene abilitata, viene eseguito codice Powershell contenente tutti i riferimenti che sono necessari per recuperare i payload di Emotet dai suoi repository. 

Fonte: https://www.cert-pa.it

Il malware Emotet
Del malware Emotet abbiamo parlato recentemente, come un dei "Top 10 Malware" del 2019: che stia diventando uno strumento malware estremamente pericoloso è un dato di fatto confermato anche da uno specifico avviso di sicurezza diramato dal CERT-USA nel Luglio 2018, dall'attenzione della comunità dei ricercatori di sicurezza, ma anche dal continuo investimento che i suoi gestori stanno facendo nel migliorarlo e affinarlo costantemente.

Conosciuto anche come Geodo o Heodo, Emotet è un trojan modulare sviluppato per rubare, principalmente, informazioni bancarie o finanziarie come le credenziali di accesso all'home banking o i wallet di criptovalute. Oltre a ciò, esfiltra dati sensibili, credenziali di login di svariate tipologie di servizi e informazioni personali. Non viene mai da solo, anzi, funge da distributore di altri trojan bancari, malware per il furto dati o bot modulari altamente personalizzabili come Trickbot.  Bersaglia utenti in tutto il mondo, con una particolare attenzione però a utenti statunitensi ed europei.


Emotet gestisce una botnet come malware-as-a-service (MaaS), affittabile nel dark web e che quindi mette in condizione i cyber criminali di poter affittare una imponente infrastruttura per diffondere nuovi malware: tra i malware che hanno usato la botnet Emotet spicca il ranomsware Ryuk, che ha usufruito degli accessi che Emotet lascia aperti sugli host infetti per attaccare sistemi anche dopo molto tempo dall'infezione originaria. 

Qui sono disponibili gli indicatori di compromissione per Settembre 2019
  • IP, Hash >>( .txt
  • IP C&C >> (.txt


Nessun commento:

Posta un commento