mercoledì 22 luglio 2020

La botnet Emotet ritorna attiva: in corso campagne massive di distribuzione dei malware TrickBot e QakBot


I ricercatori attivamente impegnati nel tracciamento della botnet Emotet hanno lanciato, a distanza di pochi giorni, due alert riguardanti due nuove campagne di distribuzione malware che segnano il ritorno all'attività di questa botnet dopo un periodo di inattività durato diversi mesi. Il primo alert riguarda la distribuzione del malware TrickBot, il secondo del malware Qakbot. 

1. TrickBot diffuso via spam contro macchine Windows
La prima campagna è stata individuata il 17 Luglio, dopo oltre 5 mesi di inattività della botnet Emotet. La campagna si basa sulle solite email di spam spacciate per fatture, informazioni di di consegna, opportunità di lavoro o fatture: ovviamente è tutto falso, la classica tecnica di ingegneria sociale per convincere le vittime ad aprire l'allegato dannoso. 


Se l'utente vittima abilita la macro contenuta nei documenti, che sono documenti Word nella maggior parte dei casi, si avvia il download e l'installazione del trojan Emotet. A questo punto la backdoor della quale è dotato Emotet viene sfruttata da TrickBot per infettare la stessa macchina. 

TrickBot in breve
TrickBot è un malware avanzato per Windows che mira principalmenre alle reti aziendali. E' un malware modulare: i suoi gestori decidono in base al tipo di macchina infetta quali moduli scaricare. Ogni modulo è responsabile di una diversa attività dannosa: tra queste ci sono
  • tentativi di diffusione laterale lungo le reti (worm);
  • furto dei database Active Directory Services;
  • furto delle credenziali di login e dei cookie salvati nei browser;
  • furto delle chiavi OpenSSH;
  • furto delle credenziali Remote Desktop Protocol (RDP) e Virtual Network Computing (VNC);
  • furto delle credenziali bancarie

Infine, e forse tra tutte questa è l'attività più dannosa, terminate tutte le operazioni di compromissione dei dati di valore nella rete, TrickBot apre una reverse shell per gli attori del ransomware Ryuk e del ransomware Conti: tramite questa shell gli operatori dei ransomware hanno accesso alla rete, rubano i dati non criptati, quindi scaricano il ransomware e procedono alla criptazione di tutti i dati presenti nella rete aziendale. 

2. Emotet diffonde massivamente QakBot
Le notifiche riguardanti la diffusione del trojan bancario QakBot  sono di due giorni fa: i ricercatori di sicurezza hanno diramato un alert conseguente sopratutto all'elevatissimo volume di diffusione, ma anche al fatto che questa campagna mostra una novità. La novità è che la botnet Emotet ha (temporaneamente?) "divorziato" dal proprio partner di lunga data, Trickbot appunto, sostituito dal payload di QakBot. 

I ricercatori spiegano che il payload di QakBot ha sostituito quello di Trickbot in tutti i vari epoch di cui si compone Emotet (per epoch si intendono i sottogruppi di Emotet, ovvero botnet collegate tra loro ma che sono eseguiti su infrastrutture diverse). Attualmente questi epoch sono 3, ciascuno col proprio server di comando e controllo, diverso metodo di distribuzione  ma tutti armati dello stesso paylod, QakBot appunto. 

QakBot in breve
Specializzato in sistemi aziendali, QakBot utilizza avanzate tecniche di offuscamento per rimanere invisibile ai controlli delle soluzioni di sicurezza. Mira alle credenziali di accesso ai servizi di banking online per un semplice scopo: svuotare i conti correnti delle vittime. Oltre a questo, monitora l'attività di navigazione dai pc infetti e registra tutte le informazioni relative ai siti web di istituti bancari, di credito e finanziari. 

Nessun commento:

Posta un commento