Emotet, presenza fissa nel cyber spazio italiano, ora distribuisce una nuova variante che ruba le carte di credito salvate su Chome. I dettagli
Emotet in breve:
Emotet è un trojan modulare con capacità di auto propagazione. Può ottenere la persistenza sulla macchina infetta. E' usato principalmente per il furto dati, ma anche per il riconoscimento delle reti, per eseguire movimenti laterali o per fungere da dropper di ulteriori downloader dannosi. In particolare molto spesso è usato come ariete per la distribuzione di Cobal Strike o di ransomware. Al malware si lega una botnet che sta crescendo costantemente.
Per saperne di più > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet
Emotet le ultime novità:
Le novità recenti sono pessime e non hanno fatto altro che anticipare quel che è la conferma della settimana, ovvero Emotet è tornato, è più forte di prima e non se ne andrà a breve. Le ultime novità riferiscono a due evidenze:
- il volume di email di spam per la diffusione di Emotet è passato da 3000 a 30000 email al giorno tra Febbraio e Marzo e il trend, anche per Aprile, è ancora in crescita;
- Epoch4, la parte dell'infrastruttura di Emotet usata a fini di test, sta diffondendo da un paio di settimane un nuovo payload del malware, che è passato da 32-bit a 64-bit. Il tasso di individuazione da parte delle più diffuse soluzioni di sicurezza è passato da 60% al 4%.
Per saperne di più > La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento
Il nuovo modulo di Emotet
La novità della nuova versione, individuata già in distribuzione in attacchi reali, è l'aggiunta di un nuovo modulo pensato appositamente per raccogliere e rubare le informazioni sulle carte di credito memorizzati nei profili utenti Google Chrome.
D'altronde gli attaccanti sanno bene che, per una questione di comodità, sono tantissimi gli utenti che salvano il numero e il codice CVC/CVV della carta di credito entro Google Chrome. E' proprio questa evidenza ad aver spinto i gestori della botnet di Emotet ad armare il malware con questa nuova funzionalità.
I dati rubati in dettaglio sono il numero della carta, il nome dell'intestatario, l'anno e il mese di scadenza, il codice CVC/ CVV. Una volta raccolti, questi dati sono inviati direttamente a server di C&C diversi però da quelli utilizzati per scaricare i loader del malware. Sottolineiamo comunque che questa funzione mira soltanto al browser Chrome.
On June 6th, Proofpoint observed a new #Emotet module being dropped by the E4 botnet. To our surprise it was a credit card stealer that was solely targeting the Chrome browser. Once card details were collected they were exfiltrated to different C2 servers than the module loader. pic.twitter.com/zy92TyYKzs
— Threat Insight (@threatinsight) June 7, 2022
La versione di Emotet contenente questo modulo è distribuita da Epoch 4, che è la parte della botnet di Emotet utilizzata solitamente a fini di test.
Come proteggersi dalla nuova versione di Emotet
In primo luogo, è utile che gli amministratori di rete e i professionisti del settore aggiornino e mantengano aggiornati gli IoC relativi alla botnet. Segnaliamo i servizi gratuiti Emocheck e HaveibeenEmotet per verificare se i propri indirizzi email o domini sono stati violati e inseriti nelle liste di malspam sulle quali Emotet basa la sua intera attività.
Ricordiamo che Emotet è da mesi il malware più diffuso in Italia, con decine di nuove campagne di diffusione ogni settimana.
Nessun commento:
Posta un commento