Botnet Emotet: rilevata una nuova attività collegata alla botnet Emotet. Nella nuova campagna sono usati file PDF ed Excel come esca, mentre l'archivio RAR (protetto da password) contenente il malware si sblocca da sé
La nuova campagna di Emotet
L'alert viene dai ricercatori Trustwave-SpiderLabs: la botnet Emotet è legata ad una nuova ondata di campagne di phishing che sfruttano archivi protetti da password per diffondere due malware sui sistemi infetti. I due malware sono CoinMiner e QuasaRat. La particolarità è che l'archivio, protetto da password, si auto sblocca senza necessità che sia l'utente ad inserire codici per estrarlo ed eseguirne il contenuto.
Come? Semplicemente, gli attaccanti hanno aggiunto un file batch che fornisce automaticamente le password. Si riduce il ruolo che deve "giocare" l'utente nel corso dell'infezione. Il problema non è secondario, come si è visto di recente, quando il CERT ha segnalato che una campagna di diffusione di sLoad contro il circuito PEC non ha funzionato perché gli attaccanti si sono dimenticati di allegare al corpo email la password per estrarre l'archivio.
La minaccia non è affatto secondaria: stando ai dati dei ricercatori, c'è stata quest'anno una vera e propria esplosione del numero di minacce nascoste dentro archivi protetti da password. Ben il 96% di questi sono distribuiti proprio dalla botnet Emotet. Gli archivi protetti da password sono il terzo formato di file più utilizzato dagli attaccanti per nascondere il malware.
Per saperne di più > La botnet Emotet ora fa coppia fissa con i ransomware BlackCat e Quantum
Emotet: dettagli di diffusione
Stando a quanto ricostruito dai ricercatori, la campagna inizia con una email contenente un archivio in formato SFX, camuffato però da file Excel o da file PDF. Il tema esca dominante in questa campagna è quello delle fatture. In realtà l'email allega tre diversi elementi: l'archivio auto-estraente SFX protetto da password, il file batch e un file esca PDF (più raramente un'immagine PNG).
 |
| Fonte: https://www.trustwave.com |
Lo script batch, come indicato, ha il compito di "apportare" la password dell'archivio protetto e il percorso di destinazione dove dovrà essere estratto il payload del malware. Il payload viene estratto in %AppData%. Il file batch ha anche un comando per visualizzare i documenti esca: altro tentativo di confondere l'utente.
 |
| Fonte: https://www.trustwave.com |
Insieme a questi processi, viene anche richiamato un prompt dei comandi: l'immagine o il PDF esca tentano di nasconderlo alla vista.
 |
| Fonte: https://www.trustwave.com |
In casi più recenti, l'archivio SFX non ha file esca e il percorso di destinazione delle componenti conduce alla cartella %temp%.
Info tecniche sul payload e i malware distribuiti
L'archivio contiene il payload eseguibile, estratto ed eseguito in %AppData%. Tutti gli eseguibili legati a questa campagna sono compilati in :NET e offuscati con ConfuserEX, un tool gratuito open source per applicazioni .NET. Qui il destino delle vittime si divide in due strade, visto che il payload distribuisce o CoinMiner o QuasarRat.
CoinMiner è un malware modulare che funge, come suggerisce il nome, da miner di criptovaluta. Usa cioè le risorse del sistema infetto per minare criptovalute. Ha però anche modulo per il furto di infromazioni e dati dai sistemi e moduli infostealer mirate al furto delle credenziali salvate nei browser, ma anche nei profili Outlook.
In questa campagna, una volta eseguito, CoinMiner copia sé stesso nella cartella %AppData% e scarica uno scirpt VBS nella cartella di startup per ottenere la persistenza. CoinMiner usa WMI per raccogliere informazioni di sistema, dagli hardware ai software antivirus installati. Una tecnica, questa, molto impiegata per evitare le sandboxes ed evitare l'analisi.
Quasar RAT è un tool open source disponibile gratuitamente su GitHub. Tecnicamente è un remote access trojan (RAT). Quasar RAT è molto utilizzato dai cyber attaccanti, principalmente perché ha funzionalità estremamente efficaci.
Nessun commento:
Posta un commento