EmoCheck si aggiorna: ecco come funziona il tool che controlla se siamo stati infettati da Emotet - Cyber Security 360

SOLUZIONI DI SICUREZZA

EmoCheck si aggiorna: ecco come funziona il tool che controlla se siamo stati infettati da Emotet

Grazie alla nuova versione di EmoCheck possiamo verificare la presenza sul nostro computer delle recenti varianti del malware Emotet, che proprio in queste ore è tornato a colpire gli utenti italiani. Ecco come utilizzarlo al meglio per identificare questa temibile minaccia

21 Set 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

È stata rilasciata una nuova versione di EmoCheck, il tool messo a punto dal CERT giapponese utile ad individuare un’eventuale infezione di Emotet, il pericoloso malware che sta facendo danni in tutto il mondo: una seria minaccia polimorfica che nel tempo si è trasformata da semplice banking trojan in un vero e proprio framework criminale.

Dopo le innumerevoli campagne di diffusione d’inizio anno a tema Coronavirus e una pausa di 5 mesi, Emotet a luglio è tornato a far parlare di sé con nuove e massicce ondate di malspam, distribuite dalle botnet Epoch 2 e 3 e interessando vari paesi nel mondo tra cui anche l’Italia.

Emotet: una nuova variante torna a colpire l’Italia

Da allora, come dimostrano i puntuali bollettini di sicurezza emanati dal CSIRT Italia, diversi sono stati i riscontri rilevati. È di oggi, a tal proposito, l’identificazione di una nuova campagna malspam per veicolare l’ennesima variante di Emotet.

In particolare, gli analisti del Computer Security Incident Response Team segnalano che l’e-mail utilizzata per la diffusione del malware è priva di testo, ad esclusione di un nome fittizio e di una password e dell’indicazione di una password (Password archivio: 81301) necessaria per aprire l’archivio (ZIP) protetto allegato al messaggio di posta elettronica.

Al suo interno è presente un file di Word che, una volta aperto, richiede alla vittima di abilitare una macro che, a sua volta, avvia l’esecuzione di codice PowerShell necessario al payload del malware per attivare connessioni a Internet finalizzate al download del malware Emotet.

Tutti gli IoC (indicatori di compromissione) della nuova variante di Emotet sono stati pubblicati dal CSIRT Italia.

EmoCheck: il tool per rispondere all’emergenza Emotet

È prassi comune che il crimine informatico usi come esca eventi globali per diffondere malspam. Nello scorso mese di dicembre è stato sfruttato il tema dei cambiamenti climatici, agli inizi del 2020 è toccato al tema dell’epidemia virale scoppiata in Cina.

In un comunicato stampa diramato all’epoca da IBM X-Force si legge, infatti, come lo stato di emergenza sanitaria sia stato sfruttato per veicolare questo insidioso e pericoloso malware tramite e-mail.

In particolare, uno dei primi paesi ad essere vittima di una campagna malevola di questo tipo è stato il Giappone, probabilmente per questioni di vicinanza geografica con la Cina: così come accaduto anche in Europa, le e-mail di phishing in lingua giapponese sono state diffuse allegando false guide sanitarie in formato Word utilizzate come vettori di diffusione.

Questo accadimento ha così spronato il Computer Emergency Response Team giapponese a lavorare e mettere a disposizione del proprio paese e di tutta la comunità cyber il tool EmoCheck per consentire agli utenti Windows di verificare un’eventuale contaminazione da malware Emotet del proprio sistema operativo.

I file sorgenti e le ultime release di EmoCheck sono reperibili sulle pagine GitHub pubblicate dal CERT giapponese.

In considerazione delle ben note peculiarità di Emotet, che (come un inviato spia, in tempo di guerra fredda, agisce in segreto per colpire il nemico) può aprire le porte alla diffusione di altri malware altrettanto pericolosi scatenando un’infezione multipla, è di fondamentale importanza cercare di rilevare e rimuovere il malware quanto prima per evitare ulteriori danni irreparabili.

Come installare e utilizzare il tool

Per usare il tool EmoCheck è sufficiente seguire questi semplici passi:

  1. Scarichiamo, dal link indicato precedentemente, il file eseguibile emocheck.exe compatibile con la versione del proprio sistema operativo (32 bit/64bit). Al termine del download, eseguiamo il file con un doppio clic del mouse.
  2. Il programma procederà automaticamente alla scansione del sistema. In caso di responso positivo, mostrerà un messaggio di alert riportante il codice ID del processo in esecuzione nonché l’esatta locazione (path) del relativo file infetto dal malware Emotet.
  3. La scansione terminerà con la generazione di un file log.txt salvato nella stessa directory in cui risiede l’eseguibile emocheck.exe.
  4. Qualora venisse riscontrata l’infezione del malware Emotet, la prima cosa da fare è killare il processo in esecuzione dal menu Gestione attività di Windows (accessibile premendo la combinazione di tasti Ctrl+Alt+Canc e selezionando poi la voce corrispondente nel menu che appare) ed eseguire una scansione con successiva pulizia dei file infetti tramite un antivirus aggiornato, al fine di scongiurare l’eventualità di un insediamento di altro codice malevolo.
  5. L’ultima release, se lanciata da prompt dei comandi (accessibile premendo la combinazione di tasti Win+R e digitando il comando cmd all’interno del campo Apri della finestra”), fornisce anche una serie di parametri opzionali elencabili tramite il parametro -help.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4