Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Emotet, il banking trojan si diffonde col malspam: i consigli per difendersi

Una nuova massiccia campagna di malspam sta diffondendo una variante del banking trojan Emotet che si nasconde dentro file Word e PDF dannosi contenenti finte fatture, notifiche di pagamento e informazioni su conti bancari. Ecco come riconoscerlo e difendersi

13 Nov 2018

Paolo Tarsitano


Una nuova variante del banking trojan Emotet è stata appena individuata dai ricercatori ESET: il malware adesso integra un modulo per la diffusione e la raccolta di dati via e-mail. Dopo un periodo di scarsa attività, i criminal hacker hanno ora avviato una massiccia campagna di malspam che, utilizzando sofisticate tecniche di social engineering, sta diffondendo messaggi di posta elettronica estremamente plausibili e quindi maggiormente ingannevoli, così da indurre le vittime a eseguire i loro allegati dannosi.

Emotet: analisi del banking trojan

Dalle analisi eseguite sul codice malevolo si evince che Emotet appartiene alla famiglia dei trojan bancari caratterizzata da un’architettura modulare, tecniche di persistenza avanzate e capacità di diffusione automatica simile a quello dei worm.

Il trojan viene spesso utilizzato, inoltre, come downloader o dropper per avviare payload secondarie di altri pericolosi malware, tra cui i trojan bancari TrickBot, Zeus Panda e IcedID. Le ultime segnalazioni confermano anche il download del ransomware UmbreCrypt.

Una prima campagna di diffusione del trojan Emotet risale al 5 novembre scorso ed è stata localizzata soprattutto nelle due Americhe, nel Regno Unito, in Turchia e in Sudafrica: la particolarità di questa variante del malware era il modulo per il furto di credenziali e indirizzi e-mail.

In questa nuova campagna di malspam, segnalata un po’ in tutto il mondo, Emotet si diffonde mediante allegati di posta elettronica infetti in formato Word e PDF contenenti finte fatture, notifiche di pagamento e informazioni su conti bancari, apparentemente provenienti da aziende ed enti legittimi. In alternativa ai file allegati, le e-mail includono dei collegamenti a file remoti pericolosi.

La catena infettiva di Emotet viene avviata quando la vittima apre l’allegato e abilita le macro in Word seguendo le istruzioni inserite nel documento, oppure quando clicca sull’indirizzo contenuto all’interno del file PDF. A questo punto, viene installato e avviato il payload di Emotet, che stabilisce la persistenza sul computer e segnala il successo delle sue attività al proprio server C&C, da cui riceve le istruzioni in merito a quali moduli di attacco e payload secondarie scaricare.

Proprio questa caratteristica di sviluppo modulare consente ai cyber criminali autori di Emotet di aggiungere facilmente al malware nuove funzionalità come, ad esempio, il furto di credenziali, la diffusione sulla rete e la raccolta di informazioni sensibili.

Ecco alcuni indicatori di compromissione (IoC) che permettono di identificare le diverse varianti di Emotet riconosciute finora.

Difendersi dal trojan Emotet: i consigli degli esperti

La scoperta di questa nuova variante di Emotec conferma una ripresa di attacchi di tipo banking trojan ai quali stiamo assistendo negli ultimi mesi. Banking trojan che, come ci ricorda Andrea Muzzi, Technical Manager F-Secure Corporation, appartengono alla famiglia di trojan cosiddetti password-stealer i quanto specializzati nel rubare password e dati confidenziali, oltre che nel monitorare o intercettare le connessioni verso i siti bancari on-line (altre famiglie di trojan sono i “downloader” che si connettono ad un server remoto e scaricano da lì altri programmi dannosi; i “dropper” che contengono già al loro interno uno o più componenti dannosi che scaricano ed installano sulla macchina compromessa; e gli “spy” che si dedicano a monitorare l’attività dei dispositivi infettati e al furto di dati in generale).

Muzzi sottolinea anche che “questo tipo di minacce può arrivare ad alti livelli di specializzazione, includendo anche caratteristiche specifiche delle altre famiglie. Fanno generalmente parte di attacchi mirati, dove il target è già stato definito a priori. A causa della loro alta specializzazione, se un trojan di questo tipo è installato su un sistema, è spesso molto difficile per gli utenti rendersi conto che stanno eseguendo azioni dannose oppure un programma lecito, in quanto sono solitamente ben mimetizzati in modo da impedire al sistema di attivare qualsiasi messaggio di notifica che possa destare i sospetti dell’utente”.

Chiediamo quindi ad Andrea Muzzi di suggerirci le contromisure minime da adottare per proteggersi da queste minacce soprattutto in ambito aziendale: “innanzitutto occorre utilizzare programmi di endpoint Protection costantemente aggiornati e che offrano funzionalità di sicurezza avanzate. Molto utile è anche una protezione Web proattiva che non si limiti alla sola navigazione, ma agisca a più livelli”.

I consigli di Muzzi continuano suggerendo “il blocco di contenuti dannosi e scripts, riconoscimento e blocco di botnet, monitoraggio dell’on-line banking (l’EPP nel momento in cui siamo connessi al sito della nostra banca blocca ogni tentativo di connessione verso server classificati potenzialmente o sicuramente pericolosi)”.

Sempre secondo Muzzi, poi, soprattutto in ambito aziendale è importante “verificare assolutamente che la propria soluzione endpoint abbia accesso costante ad un “Security Cloud”. Qui i sistemi di analisi e risposta delle minacce, sfruttando le enormi potenzialità e capacità dell’intelligenza artificiale, permettono di identificare e rispondere velocemente alle nuove minacce man mano che emergono, garantendo così agli utenti una protezione sempre più pronta ed efficace”.

“Non dimentichiamo, inoltre, la formazione dei dipendenti e degli utenti che, ahimè, sono sempre di più l’anello debole della catena della sicurezza, soprattutto quella aziendale. È importante organizzare delle sessioni formative, se pur minime, a tutte quelle persone che nel loro lavoro quotidiano si trovano a maneggiare dati sensibili. Aiutandoli a comprendere meglio le minacce e la loro pericolosità possiamo così ulteriormente limitare i danni e migliorare la soglia di vigilanza”.

Infine, valgono i consigli pratici sempre validi in questi casi: la prima raccomandazione per non rimanere vittime dei banking trojan è quella di prestare sempre la massima cautela quando si ricevono e-mail di provenienza sospetta o da mittenti sconosciuti. Evitare, inoltre, di aprire gli allegati e soprattutto di non abilitare mai l’esecuzione delle macro in documenti di Microsoft Office, anche se all’apparenza risultano essere legittimi. Ricordiamo, infatti, che uno dei moduli di Emotet consente al trojan di rubare credenziali e-mail e quindi di diffondersi mediante messaggi infetti provenienti da utenti che la vittima potrebbe avere nel suo elenco contatti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5