La quantità di truffe, cyber attacchi (di phsihing, ransomware, DDoS ecc..) e data breach registrati durante questo periodo natalizio è stata altissima: è praticamente impossibile elencarli tutti, ma tra questi una specifica campagna di malspam merita attenzione sia per l'estesione (a livello globale) della sua diffusione sia per i suoi "protagonisti" ovvero la botnet Emotet e il trojan Trickbot.
Dopo due mesi di silenzio completo infatti, durante i quali i ricercatori non hanno individuato alcuna attività proveniente dalla botnet, Emotet è tornata a farsi vivo proprio la sera della Vigilia di Natale con un payload aggiornato. Alla prima analisi è risultato che
"le modifiche apportate al payload dannoso distribuito via email sono finalizzate ad aiutare Emotet ad evadere l'individuazione non solo da parte delle vittime, ma anche delle difese di rete. A parte questi aggiornamenti, il targeting, le tattiche e i payload secondari sono rimasti invariati rispetto ai precedenti periodi di attività (di Emotet)". Questo è quanto si legge nel report dei ricercatori di Cofense, che hanno pubblicato una dettagliata analisi di questa campagna, disponibile qui.
Questo improvviso ritorno in attività della botnet non ha, in realtà, sorpreso i ricercatori poiché la botnet Emotet è si la più prolifica infrastruttura nell'invio di email dannose quando è attiva, ma ha anche sempre mostrato lunghi e regolari periodi durante i quali rimane completamente dormiente. In questo 2020, ad esempio, uno dei periodi di inattività è durato da Febbraio a metà Luglio: una delle pause più lunghe mai osservate riguardo alla botnet Emotet. Da Luglio ad Ottobre 2020 la botnet è tornata in attività, poi di nuovo in dormienza fino, appunto alla Vigilia di Natale.
Nell'immagine sotto è visibile una delle (tante) email di spam collegate alle campagne di questi giorni:
Come si vede, lo schema è estremamente banale: l'email finge una comunicazione ufficiale contenente una falsa fattura in formato Office .doc. Uno schema di attacco consolidato da anni, tanto da aver indotto i provider di servizi email (Gmail su tutti) ad adottare una serie di meccanismi di alert per mettere in guardia gli utenti dai rischi dell'apertura di documenti provenienti da fonti sconosciute, soprattutto nei casi in cui contengano macro o parti di codice offuscato.
Emotet: qualche dettaglio tecnico
L'infrastruttura Emotet origina dall'omonimo malware che, oltre a trasformare in nodi della propria botnet tutti i sistemi che riesce a violare, presenta poche altre funzioni principali: è un info stealer, cioè cerca di raccogliere più informazioni possibili sul sistema appena violato e sul suo utente utilizzatore. Mira anche alle credenziali (di servizi online, di account ecc...) ma è verso gli account email che dimostra attenzione: è come se Emotet si nutrisse di liste di contatti e contenuti email che rinviene in ogni host infetto, così da poterli riusare per ampliare e perpetrare le campagne di malspam. Le informazioni rubate sono usate per costruire e inviare email che sembrino quanto più possibile simili ai contenuti già inviati tramite quel dato account email: un sistema per rendere ancora più efficace la truffa, imitando contenuti e mittenti legittimi.
Emotet comunque "non viene ma da solo", poiché è affiliato con altri malware dei quali distribuisce il payload come payload secondari: a Ottobre i più diffusi sono stati Qakbot, ZLoader e Trickbot, mentre la campagna di Natale ha visto la distribuzione del solo Trickbot.
Emotet e l'update "natalizio"
Il nuovo documento .doc dannoso usato da Emotet include un cambiamento di peso, finalizzato a minimizzare il rischio che l'utente vittima possa rendersi conto dell'infezione in corso sul proprio computer. L'attacco si basa, come sempre, sul convincere l'utente ad abilitare la macro dannosa: il testo cerca infatti di convincere la vittima che il documento sia "protetto" e richieda l'abilitazione della macro per aprirlo. Nella vecchia versione però all'abilitazione della macro non conseguiva la visualizzazione di alcuna risposta visibile, cosa che potrebbe insospettire un utente.
Ecco perché la nuova versione crea invece una dialog box contenente il messaggio "Word ha riscontrato un errore durante il tentativo di aprire il file". L'utente visualizza l'errore ed ha così una spiegazione, a prima vista convincente, del motivo per il quale il contenuto resta non visualizzabile: sarà molto più probabile così che l'utente finisca per ignorare l'incidente, mentre Emotet "striscia" nella macchina e viene eseguito in background.
Inoltre il malware ha cambiato "forma": da un eseguibile nel formato .exe, ora è distribuito come DLL inizializzata usando il programma integrato di Windows rundll32.exe. Una piccola accortezza, ma che rende più complessa l'individuazione dell'infezione. Anche le comunicazioni col server di comando e controllo hanno visto una piccola modifica: ora usano dati binari al posto di testo in chiaro, per rendere più complessa l'individuazione a livello di rete.
Nessun commento:
Posta un commento