Dopo una breve pausa estiva, il banking trojan Emotet ha ripreso la sua campagna di diffusione mediante malspam mirando ad aziende e istituzioni pubbliche e private.
Oltre al modulo per la diffusione e la raccolta di dati via e-mail già sfruttato nelle precedenti varianti, il banking trojan Emotet ora integra altri moduli malevoli che gli consentono di rubare le password memorizzate nei software delle vittime, di infettare altri computer connessi sulla stessa rete e di riutilizzare le comunicazioni di posta elettronica per successive campagne di spam.
Grazie alla vasta diffusione, i criminal hacker sono riusciti ad utilizzare il banking trojan Emotet per realizzare una botnet gestita in modalità Malware-as-a-Service, consentendo quindi ad altri criminal hacker di utilizzarla per diffondere a loro volta altri pericolosi malware e ransomware.
Già in passato ransomware del calibro di Bitpaymer e Ryuk (salito agli onori della cronaca per aver bloccato le attività produttive dell’italiana Bonfiglioli) hanno sfruttato i computer già infettati da Emotet per compromettere reti aziendali e pubbliche. Secondo i ricercatori di Cisco Talos, invece, la nuova variante del banking trojan Emotet viene utilizzata come vettore d’infezione del ransomware TrickBot famoso per diffondersi rapidamente nelle reti locali mediante funzionalità di worm.
Indice degli argomenti
Dettagli della nuova variante
I primi campioni malevoli identificati dai ricercatori di sicurezza evidenziano che la nuova campagna infettiva del banking trojan Emotet si basa sull’invio di e-mail malevoli (scritte anche in italiano e quindi mirate ad aziende del nostro Paese) contenenti documenti Office creati ad-hoc relativi ad una fantomatica fattura in formato DOC.
Anche in questo caso, i criminal hacker stanno utilizzando sofisticate tecniche di social engineering per rendere i messaggi di posta elettronica estremamente plausibili e quindi maggiormente ingannevoli, così da indurre le vittime a eseguire i loro allegati dannosi.
Qualora dovesse farlo, l’utente viene invitato ad attivare le macro contenute nel documento Word: operazione, questa, che avvia l’esecuzione di codice PowerShell contenente i riferimenti ai repository da cui vengono scaricati i payload del banking trojan Emotet.
Banking trojan Emotet: analisi tecnica
Dalle analisi eseguite sul codice malevolo si evince che Emotet appartiene alla famiglia dei trojan bancari caratterizzata da un’architettura modulare, tecniche di persistenza avanzate e capacità di diffusione automatica simile a quello dei worm.
Una prima campagna di diffusione del trojan Emotet risale al 5 novembre scorso ed è stata localizzata soprattutto nelle due Americhe, nel Regno Unito, in Turchia e in Sudafrica: la particolarità di questa variante del malware era il modulo per il furto di credenziali e indirizzi e-mail.
La catena infettiva di Emotet viene avviata quando la vittima apre l’allegato e abilita le macro in Word seguendo le istruzioni inserite nel documento, oppure quando clicca sull’indirizzo contenuto all’interno del file PDF. A questo punto, viene installato e avviato il payload di Emotet, che stabilisce la persistenza sul computer e segnala il successo delle sue attività al proprio server C&C, da cui riceve le istruzioni in merito a quali moduli di attacco e payload secondarie scaricare.
Proprio questa caratteristica di sviluppo modulare consente ai cyber criminali autori di Emotet di aggiungere facilmente al malware nuove funzionalità come, ad esempio, il furto di credenziali, la diffusione sulla rete e la raccolta di informazioni sensibili.
Difendersi dal banking trojan Emotet
La scoperta di questa nuova variante di Emotet conferma una ripresa di attacchi di tipo banking trojan ai quali stiamo assistendo negli ultimi mesi. Banking trojan che, come ci ricorda Andrea Muzzi, Technical Manager F-Secure Corporation, appartengono alla famiglia di trojan cosiddetti password-stealer i quanto specializzati nel rubare password e dati confidenziali, oltre che nel monitorare o intercettare le connessioni verso i siti bancari on-line (altre famiglie di trojan sono i “downloader” che si connettono ad un server remoto e scaricano da lì altri programmi dannosi; i “dropper” che contengono già al loro interno uno o più componenti dannosi che scaricano ed installano sulla macchina compromessa; e gli “spy” che si dedicano a monitorare l’attività dei dispositivi infettati e al furto di dati in generale).
Muzzi sottolinea anche che “questo tipo di minacce può arrivare ad alti livelli di specializzazione, includendo anche caratteristiche specifiche delle altre famiglie. Fanno generalmente parte di attacchi mirati, dove il target è già stato definito a priori. A causa della loro alta specializzazione, se un trojan di questo tipo è installato su un sistema, è spesso molto difficile per gli utenti rendersi conto che stanno eseguendo azioni dannose oppure un programma lecito, in quanto sono solitamente ben mimetizzati in modo da impedire al sistema di attivare qualsiasi messaggio di notifica che possa destare i sospetti dell’utente”.
Chiediamo quindi ad Andrea Muzzi di suggerirci le contromisure minime da adottare per proteggersi da queste minacce soprattutto in ambito aziendale: “innanzitutto occorre utilizzare programmi di endpoint Protection costantemente aggiornati e che offrano funzionalità di sicurezza avanzate. Molto utile è anche una protezione Web proattiva che non si limiti alla sola navigazione, ma agisca a più livelli”.
I consigli di Muzzi continuano suggerendo “il blocco di contenuti dannosi e scripts, riconoscimento e blocco di botnet, monitoraggio dell’on-line banking (l’EPP nel momento in cui siamo connessi al sito della nostra banca blocca ogni tentativo di connessione verso server classificati potenzialmente o sicuramente pericolosi)”.
Sempre secondo Muzzi, poi, soprattutto in ambito aziendale è importante “verificare assolutamente che la propria soluzione endpoint abbia accesso costante ad un “Security Cloud”. Qui i sistemi di analisi e risposta delle minacce, sfruttando le enormi potenzialità e capacità dell’intelligenza artificiale, permettono di identificare e rispondere velocemente alle nuove minacce man mano che emergono, garantendo così agli utenti una protezione sempre più pronta ed efficace”.
“Non dimentichiamo, inoltre, la formazione dei dipendenti e degli utenti che, ahimè, sono sempre di più l’anello debole della catena della sicurezza, soprattutto quella aziendale. È importante organizzare delle sessioni formative, se pur minime, a tutte quelle persone che nel loro lavoro quotidiano si trovano a maneggiare dati sensibili. Aiutandoli a comprendere meglio le minacce e la loro pericolosità possiamo così ulteriormente limitare i danni e migliorare la soglia di vigilanza”.
Infine, valgono i consigli pratici sempre validi in questi casi: la prima raccomandazione per non rimanere vittime dei banking trojan è quella di prestare sempre la massima cautela quando si ricevono e-mail di provenienza sospetta o da mittenti sconosciuti. Evitare, inoltre, di aprire gli allegati e soprattutto di non abilitare mai l’esecuzione delle macro in documenti di Microsoft Office, anche se all’apparenza risultano essere legittimi. Ricordiamo, infatti, che uno dei moduli di Emotet consente al trojan di rubare credenziali e-mail e quindi di diffondersi mediante messaggi infetti provenienti da utenti che la vittima potrebbe avere nel suo elenco contatti.
Articolo pubblicato il 13 novembre 2018 e aggiornato in seguito alla scoperta della nuova variante del banking trojan Emotet
