È stata avvistata una nuova campagna di distribuzione del malware Emotet che, in questa variante, è in grado di sfruttare format non convenzionali di indirizzi IP per sfuggire agli anti-malware ed evitare così il rilevamento: una sofisticata tecnica di social engineering che mira a ingannare gli utenti nell’abilitare le macro dei documenti e automatizzare l’esecuzione del malware.
“Un anno è trascorso”, commenta Antonio Pontrelli, ricercatore di sicurezza di Exprivia, “da quando la infrastruttura usata per gestire il malware Emotet è stata individuata e smantellata, grazie agli sforzi congiunti di forze dell’ordine appartenenti a diversi paesi. Smantellare la infrastruttura non è stato però sufficiente per bloccare Emotet. Infatti, una volta smantellata tale infrastruttura, le organizzazioni criminali si sono messe all’opera per cercare di ripristinare la botnet”.
Indice degli argomenti
Emotet, l’inizio della kill chain
“Verso la fine di novembre 2021 pertanto, i computer infettati dal malware Trickbot hanno incominciato a diffondere una nuova variante di Emotet, utilizzando formati di indirizzi IP ‘non convenzionali’, in grado di eludere i sistemi di sicurezza”, continua Pontrelli: “Come spesso accade per diversi malware, la kill chain di Emotet inizia con una mail di phishing. L’e-mail apparentemente legittima ha un solo obiettivo, convincere il destinatario a cliccare su un link dannoso per scaricare un file oppure aprire un documento in allegato”. Pontrelli sottolinea come prosegue la kill chain: “La vittima aprendo il documento in allegato oppure il documento scaricato dal link malevolo, abilita inconsapevolmente le macro di Microsoft, sviluppate per avviare il processo di infezione. Non appena il processo di installazione del malware è completato e una volta stabilita la connessione con il Command & Control (C&C), Emotet tenterà di diffondersi in due modi:
- inviare mail di spam a tutti i contatti presenti in rubrica. Poiché l’email sembra provenire da una fonte attendibile, gli utenti saranno più invogliati a dar seguito alla mail ricevuta e pertanto più inclini a cliccare sul link o aprire un allegato;
- scansionare la rete interna e sferrare un attacco di tipo brute force, ovvero proverà una serie di combinazioni username/password per individuare le credenziali d’accesso”.
Emotet, l’infezione tramite indirizzi IP non convenzionali
Trend Micro ha individuato “una campagna intenta a distribuire il malware Emotet” che “si distingue dalle precedenti per l’utilizzo di rappresentazioni esadecimali e ottali degli indirizzi IP contattati durante il processo di infezione”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus: “Con questa tecnica l’attaccante tenta di evadere i processi di detection delle soluzioni di sicurezza che evidentemente non si trovano dinanzi ad un URL classico associato a campagne Emotet”.
L’attacco via Excel 4.0 Macro: i dettagli
Infatti, il report di Trend Micro avverte dell’utilizzo dell’inusuale rappresentazione esadecimale e ottale degli indirizzi IP. “Il documento in allegato o scaricato dal link presente nell’email malevola”, spiega Pontrelli, “contenente delle macro di Excel XML 4.0. All’apertura del documento, viene invocata una funzionalità di Excel chiamata “auto_open”, che consente l’esecuzione automatica della macro ogni volta che si apre un documento. Una volta aperto il file, la funziona “auto_open” invoca una macro, contenente un URL che usa l’offuscamento, con l’indirizzo IP rappresentato in sistema esadecimale “h^tt^p^:/^/0xc12a24f5/cc.html”. Convertendo i numeri esadecimali in decimali, si ottiene il seguente indirizzo IP: 193[.]42[.]36[.]245. Continuando l’esecuzione della macro, il programma invoca il comando cmd.exe/mshta.exe, file legittimo che appartiene a Microsoft, necessario per eseguire le applicazioni di HTML (i file .hta), passando come parametro la rappresentazione codificata dell’URL dal quale scaricare il file HTML application. Una seconda variante dell’attacco segue lo stesso modus operandi, con l’unica differenza che l’indirizzo IP è codificato nel formato ottale “h^tt^p^:/^/0056.0151.0121.0114/c.html”. Convertendo i numeri del sistema ottale in decimali, si ottiene il seguente indirizzo IP: 46[.]105[.]81[.]76″.
Il trucco per mascherare gli indirizzi IP
“Come nelle precedenti campagne Emotet si sfrutta una vecchia funzionalità nota come Excel 4.0 Macro per l’automatizzazione di compiti ripetitivi in Excel”, sottolinea Paganini: “nell’attacco in questione la funzionalità consente di avviare il processo di infezione all’apertura del documento Excel”.
Una volta abilitata, la macro invoca un URL che usa l’offuscamento mentre l’host incorpora una rappresentazione esadecimale dell’indirizzo IP — h^tt^p^:/^/0xc12a24f5/cc.html — per eseguire un codice applicazione HTML (HTA) da un host remoto.
“Nonostante l’utilizzo di un trucco per mascherare gli indirizzi IP alle soluzioni di sicurezza”, continua l’esperto di cyber security, “va detto che le macro all’interno del file Excel eseguono il comando cmd.exe/mshta.exe passando la rappresentazione codificata dell’URL dal quale scaricare il file HTML application (HTA). Proprio questo passaggio può servire a individuare questo tipo di attacchi”.
Il ruolo delle gang ransomware dietro la botnet Emotet
“Gli attacchi” nel report di Trend Micro “dimostrano la continua evoluzione delle tecniche da parte degli operatori dietro la botnet Emotet”, continua Paganini; dunque “è cruciale per gli esperti di sicurezza seguirne gli sviluppi nel tempo per individuare la minaccia. La botnet Emotet è un abilitatore fondamentale per l’ecosistema criminale, ricordiamo che la stessa è stata utilizzata da molteplici gang ransomware come mezzo iniziale di infezione per successiva diffusione dei ransomware (Conti, DoppelPaymer, Egregor, ProLock, Ryuk). La resurrezione della botnet Emotet osservata lo scorso anno è proprio frutto di questa collaborazione consolidata da parte delle principali operazioni ransomware, in particolare della gang Conti”.
Come proteggersi: disabilitare le macro
La catena di infezione, come nei precedenti attacchi riferiti a Emotet, trae in inganno gli utenti abilitando i documenti macro e automatizzando l’esecuzione del malware.
Il documento impiega le macro di Excel 4.0, una funzionalità a rischio frequente di abusi da parte di attori malevoli che la sfruttano per diffondere malware. Per questo motivo Microsoft disabilita le macro di Excel 4.0 per bloccare il malware di default.
“Microsoft raccomanda di disabilitare le macro XLM in favore delle VBA“, consiglia Pontrelli: “Le VBA, a differenza delle XML, supportano l’Antimalware Scan Interface (AMSI), componente Microsoft Windows che consente un’ispezione più approfondita dei servizi di scripting integrati. Durante l’esecuzione della macro di un programma, in presenza di specifiche considerate ad alto rischio, l’interruzione dell’esecuzione della macro fa sì che il contenuto passi ad AMSI che analizza se il comportamento della macro sia dannoso o meno; in caso positivo, la macro viene interrotta. Con la Build 16.0.14427.10000 , Microsoft ha disabilitato per default le macro di Excel XML 4.0, ciò vuol dire che quando l’utente aprirà un documento dove le macro sono disabilitate per default, comparirà nel documento un popup di sicurezza (come si vede nell’immagine)”.
“Il miglioramento della consapevolezza“, conclude Pontrelli, “è un percorso che non può non passare dall’uso consapevole delle tecnologie. In linea con questo principio, pur avendo la possibilità di scegliere il tipo di configurazione, l’utente ha la possibilità di decidere se accettare il rischio o meno. Così facendo aumentata la consapevolezza da parte dell’utente stesso su eventuali minacce”.
