L'ANALISI TECNICA

Emotet ora si nasconde in un file di installazione Adobe: ecco come riconoscere e mitigare la minaccia

È stata identificata una nuova campagna di distribuzione del malware Emotet, che ora si nasconde dietro finte applicazioni Adobe per la visualizzazione di file PDF. Ecco tutti i dettagli della catena infettiva e i consigli per proteggersi da possibili attacchi

02 Dic 2021
Paolo Tarsitano

Editor Cybersecurity360.it

Dopo essere ritornato sulla scena del cyber crimine, il malware Emotet è di nuovo attivo e si diffonde ora tramite falsi pacchetti di installazione per Windows delle applicazioni Adobe dedicate alla gestione dei file PDF.

In particolare, gli attori della minaccia hanno trovato il modo di sfruttare la funzione App Installer di Windows 10 e Windows 11 per infettare i sistemi: una tecnica di attacco già osservata in precedenza per distribuire il malware BazarLoader specializzato nell’installare pacchetti dannosi ospitati su Microsoft Azure.

Come già successo nella precedente campagna malevola dello scorso mese di novembre, denominata Operation Reacharound, anche in questa nuova variante Emotet si diffonde attraverso e-mail di phishing contenenti allegati maligni.

Quindi, secondo quello che ormai è il consueto modus operandi del malware, subito dopo la sua attivazione nei sistemi target Emotet avvia una campagna di spam utilizzando l’indirizzo e-mail della vittima per inviare copie di se stesso ad altre potenziali vittime e per distribuire malware come Trickbot e Qbot utilizzati dai criminal hacker come punti di ingresso per successivi attacchi ransomware.

Emotet è tornato e la sua botnet sta di nuovo inondando l’Europa di spam

La catena di infezione della nuova variante di Emotet

Secondo le analisi effettuate dal gruppo di ricerca Cryptolaemus specializzato nel monitoraggio del framework Emotet, il flusso di attacco della nuova campagna di phishing inizia con e-mail di risposta a conversazioni esistenti tra la vittima e i suoi contatti.

WHITEPAPER
Quali caratteristiche delle VDI garantiscono un aumento di produttività
Datacenter
Virtualizzazione

Questi messaggi di risposta contengono un semplice testo che invita il destinatario a dare un’occhiata all’allegato in formato PDF che è possibile scaricare dal link indicato.

(Fonte: @malware_traffic).

Cliccando sul link, la vittima viene reindirizzata ad una finta pagina di Google Drive su cui è presente un pulsante per visualizzare l’anteprima del documento PDF.

(Fonte: @malware_traffic).

Come si può vedere nell’immagine precedente, il pulsante Preview PDF nasconde in realtà un URL di tipo ms-appinstaller, cioè un file XML contenente informazioni sulla signature e l’indirizzo dell’app bundle che verrà installato.

Nel caso particolare, l’URL nascosto nel pulsante per la visualizzazione dell’anteprima del file PDF tenta in realtà di aprire un file appinstaller ospitato su Microsoft Azure ad un indirizzo variabile del tipo *.web.core.windows.net.

Cliccando sul pulsante, il browser predefinito di Windows chiederà quindi alla vittima se si desidera aprire il programma Windows App Installer per procedere. Una volta accettato, apparirà a video una popup di App Installer che chiederà di installare un non meglio specificato “Componente Adobe PDF”.

(Fonte: @malware_traffic).

A un occhio inesperto, il pacchetto dannoso sembra essere realmente un’applicazione legittima di Adobe, in quanto i criminal hacker hanno utilizzato un’icona legittima di Adobe PDF e un certificato valido che serve a contrassegnare l’applicazione come “Trusted”, cioè fidata. Questo basta per indurre la vittima a proseguire con l’installazione.

Quello che succede, però, è che l’App Installer di Windows scaricherà e installerà l’applicazione dannosa, che a sua volta creerà una libreria DLL nella cartella %Temp%, eseguendola poi mediante il comando rundll32.exe.

Successivamente, la stessa libreria DLL verrò copiata anche nella cartella %LocalAppData% usando una sottocartella e un nome di file casuali.

Infine, per garantire l’esecuzione automatica della DLL malevola ogniqualvolta l’utente avvia Windows, verrà creato un nuovo valore autorun nella chiave HKCUSoftwareMicrosoftWindowsCurrentVersionRun del registro di configurazione di sistema.

Come mitigare il rischio

Come dicevamo, anche questa nuova campagna di distribuzione del malware Emotet è particolarmente insidiosa in quanto potrebbe consentire ai criminal hacker di compromettere un sistema target per poi lanciare successivamente un attacco ransomware in grado di bloccare le infrastrutture aziendali.

È dunque importante che amministratori di rete e professionisti della sicurezza aziendale monitorino costantemente gli sviluppi di queste campagne di distribuzione del malware Emotet.

Inoltre, sarebbe opportuno implementare nei vari apparati di sicurezza aziendali l’elenco dei server di comando e controllo utilizzati da Emotet per scaricare i payload e le app malevoli: in questo caso, si può fare riferimento al progetto di ricerca Abuse.ch che ha già raccolto un elenco di 309 URL malevoli (ma la lista è in continuo aggiornamento).

Infine, è sempre buona norma effettuare periodiche sessioni di formazione ai dipendenti e agli utenti aziendali al fine di fornire loro le conoscenze e gli strumenti necessari per riconoscere le eventuali minacce e prestare la giusta attenzione agli URL indicati nelle conversazioni e-mail sospette.

WHITEPAPER
Cosa fare per migliorare l’analisi dei contenuti abbassando i costi operativi?
Datacenter
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 4