MACRO MALEVOLI

Emotet sfrutta indirizzi IP non convenzionali per sfuggire agli antivirus: come proteggersi

Una campagna di social engineering sta distribuendo una variante di Emotet che utilizza una rappresentazione non convenzionale di indirizzi IP per propagarsi ed evitare il rilevamento. Ecco come si diffonde il malware attraverso le Excel 4.0 Macro e come proteggersi

24 Gen 2022
C
Mirella Castigli

Giornalista

È stata avvistata una nuova campagna di distribuzione del malware Emotet che, in questa variante, è in grado di sfruttare format non convenzionali di indirizzi IP per sfuggire agli anti-malware ed evitare così il rilevamento: una sofisticata tecnica di social engineering che mira a ingannare gli utenti nell’abilitare le macro dei documenti e automatizzare l’esecuzione del malware.

“Un anno è trascorso”, commenta Antonio Pontrelli, ricercatore di sicurezza di Exprivia, “da quando la infrastruttura usata per gestire il malware Emotet è stata individuata e smantellata, grazie agli sforzi congiunti di forze dell’ordine appartenenti a diversi paesi. Smantellare la infrastruttura non è stato però sufficiente per bloccare Emotet. Infatti, una volta smantellata tale infrastruttura, le organizzazioni criminali si sono messe all’opera per cercare di ripristinare la botnet”.

Emotet, l’inizio della kill chain

“Verso la fine di novembre 2021 pertanto, i computer infettati dal malware Trickbot hanno incominciato a diffondere una nuova variante di Emotet, utilizzando formati di indirizzi IP ‘non convenzionali’, in grado di eludere i sistemi di sicurezza”, continua Pontrelli: “Come spesso accade per diversi malware, la kill chain di Emotet inizia con una mail di phishing. L’e-mail apparentemente legittima ha un solo obiettivo, convincere il destinatario a cliccare su un link dannoso per scaricare un file oppure aprire un documento in allegato”. Pontrelli sottolinea come prosegue la kill chain: “La vittima aprendo il documento in allegato oppure il documento scaricato dal link malevolo, abilita inconsapevolmente le macro di Microsoft, sviluppate per avviare il processo di infezione. Non appena il processo di installazione del malware è completato e una volta stabilita la connessione con il Command & Control (C&C), Emotet tenterà di diffondersi in due modi:

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza
  • inviare mail di spam a tutti i contatti presenti in rubrica. Poiché l’email sembra provenire da una fonte attendibile, gli utenti saranno più invogliati a dar seguito alla mail ricevuta e pertanto più inclini a cliccare sul link o aprire un allegato;
  • scansionare la rete interna e sferrare un attacco di tipo brute force, ovvero proverà una serie di combinazioni username/password per individuare le credenziali d’accesso”.

Emotet, l’infezione tramite indirizzi IP non convenzionali

Trend Micro ha individuato “una campagna intenta a distribuire il malware Emotet” che “si distingue dalle precedenti per l’utilizzo di rappresentazioni esadecimali e ottali degli indirizzi IP contattati durante il processo di infezione”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus: “Con questa tecnica l’attaccante tenta di evadere i processi di detection delle soluzioni di sicurezza che evidentemente non si trovano dinanzi ad un URL classico associato a campagne Emotet”.

L’attacco via Excel 4.0 Macro: i dettagli

Infatti, il report di Trend Micro avverte dell’utilizzo dell’inusuale rappresentazione esadecimale e ottale degli indirizzi IP. “Il documento in allegato o scaricato dal link presente nell’email malevola”, spiega Pontrelli, “contenente delle macro di Excel XML 4.0. All’apertura del documento, viene invocata una funzionalità di Excel chiamata “auto_open”, che consente l’esecuzione automatica della macro ogni volta che si apre un documento. Una volta aperto il file, la funziona “auto_open” invoca una macro, contenente un URL che usa l’offuscamento, con l’indirizzo IP rappresentato in sistema esadecimale “h^tt^p^:/^/0xc12a24f5/cc.html”. Convertendo i numeri esadecimali in decimali, si ottiene il seguente indirizzo IP: 193[.]42[.]36[.]245. Continuando l’esecuzione della macro, il programma invoca il comando cmd.exe/mshta.exe, file legittimo che appartiene a Microsoft, necessario per eseguire le applicazioni di HTML (i file .hta), passando come parametro la rappresentazione codificata dell’URL dal quale scaricare il file HTML application. Una seconda variante dell’attacco segue lo stesso modus operandi, con l’unica differenza che l’indirizzo IP è codificato nel formato ottale “h^tt^p^:/^/0056.0151.0121.0114/c.html”. Convertendo i numeri del sistema ottale in decimali, si ottiene il seguente indirizzo IP: 46[.]105[.]81[.]76″.

Il trucco per mascherare gli indirizzi IP

“Come nelle precedenti campagne Emotet si sfrutta una vecchia funzionalità nota come Excel 4.0 Macro per l’automatizzazione di compiti ripetitivi in Excel”, sottolinea Paganini: “nell’attacco in questione la funzionalità consente di avviare il processo di infezione all’apertura del documento Excel”.

Una volta abilitata, la macro invoca un URL che usa l’offuscamento mentre l’host incorpora una rappresentazione esadecimale dell’indirizzo IP — h^tt^p^:/^/0xc12a24f5/cc.html — per eseguire un codice applicazione HTML (HTA) da un host remoto.

“Nonostante l’utilizzo di un trucco per mascherare gli indirizzi IP alle soluzioni di sicurezza”, continua l’esperto di cyber security, “va detto che le macro all’interno del file Excel eseguono il comando cmd.exe/mshta.exe passando la rappresentazione codificata dell’URL dal quale scaricare il file HTML application (HTA). Proprio questo passaggio può servire a individuare questo tipo di attacchi”.

Il ruolo delle gang ransomware dietro la botnet Emotet

“Gli attacchi” nel report di Trend Micro “dimostrano la continua evoluzione delle tecniche da parte degli operatori dietro la botnet Emotet”, continua Paganini; dunque “è cruciale per gli esperti di sicurezza seguirne gli sviluppi nel tempo per individuare la minaccia. La botnet Emotet è un abilitatore fondamentale per l’ecosistema criminale, ricordiamo che la stessa è stata utilizzata da molteplici gang ransomware come mezzo iniziale di infezione per successiva diffusione dei ransomware (Conti, DoppelPaymer, Egregor, ProLock, Ryuk). La resurrezione della botnet Emotet osservata lo scorso anno è proprio frutto di questa collaborazione consolidata da parte delle principali operazioni ransomware, in particolare della gang Conti”.

Come proteggersi: disabilitare le macro

La catena di infezione, come nei precedenti attacchi riferiti a Emotet, trae in inganno gli utenti abilitando i documenti macro e automatizzando l’esecuzione del malware.

Il documento impiega le macro di Excel 4.0, una funzionalità a rischio frequente di abusi da parte di attori malevoli che la sfruttano per diffondere malware. Per questo motivo Microsoft disabilita le macro di Excel 4.0 per bloccare il malware di default.

Microsoft raccomanda di disabilitare le macro XLM in favore delle VBA“, consiglia Pontrelli: “Le VBA, a differenza delle XML, supportano l’Antimalware Scan Interface (AMSI), componente Microsoft Windows che consente un’ispezione più approfondita dei servizi di scripting integrati. Durante l’esecuzione della macro di un programma, in presenza di specifiche considerate ad alto rischio, l’interruzione dell’esecuzione della macro fa sì che il contenuto passi ad AMSI che analizza se il comportamento della macro sia dannoso o meno; in caso positivo, la macro viene interrotta. Con la Build 16.0.14427.10000 , Microsoft ha disabilitato per default le macro di Excel XML 4.0, ciò vuol dire che quando l’utente aprirà un documento dove le macro sono disabilitate per default, comparirà nel documento un popup di sicurezza (come si vede nell’immagine)”.

Con la Build 16.0.14427.10000 , Microsoft ha disabilitato per default le macro di Excel XML 4.0

“Il miglioramento della consapevolezza“, conclude Pontrelli, “è un percorso che non può non passare dall’uso consapevole delle tecnologie. In linea con questo principio, pur avendo la possibilità di scegliere il tipo di configurazione, l’utente ha la possibilità di decidere se accettare il rischio o meno. Così facendo aumentata la consapevolezza da parte dell’utente stesso su eventuali minacce”.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3