Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

Emotet, una variante del banking trojan ci infetta con e-mail di risposta ai nostri stessi messaggi: i dettagli

Una nuova variante del banking trojan Emotet è tornata a colpire in Italia, usando come vettore di diffusione i messaggi di risposta alle nostre stesse e-mail: un escamotage per indurci ad abbassare la guardia nei confronti di possibili minacce. Ecco come accorgersi del pericolo e come evitarlo

28 Ott 2019
D
Paolo Dal Checco

Consulente Informatico Forense


È stata identificata una nuova variante di Emotet, il famigerato banking trojan che in questi giorni sta infettando i computer di migliaia di italiani.

Emotet è un pericoloso malware che ruba le password e che, nel momento in cui eseguiamo bonifici bancari, cerca d’intromettersi per modificarne il destinatario e appropriarsi dei nostri soldi.

Il banking trojan è noto da anni e si diffonde principalmente tramite e-mail: una volta attecchito su un PC, rimane silente ma contemporaneamente cerca d’infettare altri utenti e dispositivi e può fare da punto d’ingresso per ulteriori malware. Non è raro, infatti, che Emotet porti con sé attacchi di ransomware (tra i tanti, Bitpaymer, Ryukche o TrickBot) che cifrano i documenti contenuti nel PC infetto e chiedono un riscatto in Bitcoin.

È proprio per contrastare questa tipologia di software malevoli con efficaci strategie di sicurezza informatica che è stata emanata la ben nota direttiva PSD2.

Nuova variante di Emotet: lo scenario d’attacco

Ecco, nel dettaglio, quello che sta accadendo.

Riceviamo un’e-mail da un nostro contatto, contenente la risposta a un messaggio inviato da noi tempo addietro. Che aspettassimo o meno di ricevere qualcosa, il mittente è noto, la mail è la risposta a una nostra comunicazione che viene anche riportata nel messaggio, il contenuto è in italiano e fa riferimento a un allegato.

La mail è indirizzata a noi, salutandoci per nome, il testo è spesso credibile e riporta frasi come “inviamo in allegato l’offerta richiesta”, “grazie per la sua notizia, di seguito può trovare tutti i dettagli”, “il presente invio sostituisce il tradizionale a mezzo posta” o “mando una rettifica a quello che ho concordato oggi al telefono”.

Se sottovalutati, questi messaggi possono portare a gravi conseguenze. L’allegato cui fa riferimento il nostro contatto nella mail è infatti un documento Office che, nel momento in cui lo apriamo, ci mostra una schermata blu con il testo: Questo file è stato creato con una versione precedente di Microsoft Office Word. Per visualizzare il contenuto è necessario fare click sul pulsante ‘Abilita modifiche’, situato sulla barra gialla in alto, e poi cliccare su “Abilita contenuto”.

Ritenendo possibile che il nostro contatto abbia una versione datata di Microsoft Office Word, non percepiamo il rischio nel cliccare sul pulsante “Abilita Contenuto” nella barra gialla che compare in alto, tralasciando il fatto che di fianco vi sia un “Avviso di sicurezza” che ci informa che “Le macro sono state disabilitate”.

Quello che sta succedendo, in sostanza, è che Microsoft Office ci avvisa del rischio di abilitare i contenuti che possono quindi potenzialmente eseguire attività malevole sul nostro PC e noi, convinti della buona fede di chi ci ha inviato il messaggio, procediamo con l’attivazione del codice contenuto nel documento Word.

Insomma, le indicazioni di non accettare allegati dagli sconosciuti ma di fidarci solo di chi conosciamo, in questo caso è fuorviante, perché ci porta a compiere azioni di cui potremmo pentirci.

Nuova variante di Emotet: le e-mail non finiscono nello spam

Ci si può chiedere, a questo punto, come mai i sistemi antispam o antimalware non hanno rilevato il pericolo lasciando passare nella nostra Inbox una potenziale minaccia per il nostro PC e i nostri dati, oltre che per i nostri soldi.

Uno degli elementi chiave di questo tipo d’infezione è il fatto che i messaggi contenenti il malware tendono a non finire nella cartella dello spam. Il motivo è che provengono da contatti noti, con i quali abbiamo scambiato corrispondenza e dai quali, quindi, i sistemi antispam tendono a ritenere che sia improbabile ricevere mail spazzatura.

La nostra fiducia nei confronti dei sistemi antispam non deve quindi farci pensare che ogni qual volta un messaggio venga lasciato indenne dai controlli automatici sia automaticamente sicuro e privo di malware.

Allo stesso modo, il fatto che provenga da un contatto noto e contenga un nostro messaggio all’interno, non deve farci dimenticare le regole base della sicurezza e dell’autodifesa digitale.

Nuova variante di Emotet: come comportarsi

Come sempre quando si riceve un allegato – soprattutto se non lo si aspettava, anche se da un contatto noto – il consiglio è quello di aprirlo adottando alcune cautele.

Probabilmente ricevendo un file “.exe” tutti noi saremmo sospettosi, dato che gli eseguibili sono programmi ed è in genere poco sensato ricevere programmi dai nostri contatti.

Dobbiamo però ricordare che anche semplici documenti come Word o PDF possono contenere, all’interno, del codice malevolo che esegue delle operazioni sul nostro PC, sviluppato tramite linguaggio javascript (per i PDF) oppure macro VBS (per i documenti Office).

La cosa migliore è quella di aprire con cautela il documento, se possibile utilizzando, invece di Microsoft Office, uno dei software di sola visualizzazione scaricabili online che non permettono l’attivazione dei codici macro inseriti nei documenti.

In alternativa, si possono utilizzare servizi di visualizzazione documentale online: ce ne sono diversi e permettono di aprire documenti Word, Excel o PDF caricandoli online e visionandoli su siti web.

Persino il cloud può tornare utile per ottenere anteprime dei documenti: basta infatti copiare l’allegato in una cartella Dropbox, Google Drive o OneDrive e visualizzare l’anteprima, potendo così verificare se si tratta di un documento contenente dati reali oppure di un file contenente il solo codice malevolo.

Infine, si possono utilizzare servizi di antivirus e sandbox online, come VirusTotal, Any.run o Hybrid-Analysis, che permettono di far esaminare il file da decine di antivirus o simularne l’esecuzione in ambiente protetto, ottenendo il “responso” circa la bontà o meno del documento.

Va ricordato che tutti i servizi che permettono visualizzazione o analisi online dei documenti potrebbero trattenerne una copia e condividerla con altri utenti: per questo motivo, questo tipo di verifica non andrebbe fatta con documenti potenzialmente riservati.

Per chi ha la possibilità di fare verifiche tecniche un poco più complesse, sono disponibili degli strumenti che permettono di esaminare i file Office per analizzare la presenza di codice macro e come questo viene attivato all’apertura. Uno dei più noti è oletools, una suite di programmi scaricabile gratuitamente per Linux, Mac OS o Windows basata su Python.

Da dove provengono i messaggi infetti

Dai campioni della nuova variante di Emotet analizzati durante il corso di questa settimana, sono emerse diverse caratteristiche che delineano i contorni di questa ondata di malspam.

Il primo elemento che salta all’occhio è il fatto che nella mail che riceviamo dal nostro contatto, alla quale è allegata la nuova variante di Emotet, è contenuto il testo di un nostro messaggio effettivamente inviato a lui o da lui inviato a noi.

Questo significa che i criminali che stanno portando avanti la campagna di spam hanno avuto accesso alla casella di posta elettronica del nostro contatto e al suo contenuto, che stanno utilizzando per fini illeciti.

Questo già basta per delineare un data breach, cioè un attacco portato a termine con successo che ha causato l’accesso a dati potenzialmente riservati, anche di terzi.

Ulteriori analisi dei sample hanno permesso di verificare come le e-mail non provengono dalla casella di posta del nostro contatto né dal suo PC: questo significa che i criminali non solo hanno avuto accesso alla sua mailbox ma ne hanno anche fatto copia.

Il data breach quindi assume ulteriore gravità, per il fatto che i nostri messaggi, presenti nella casella di posta del contatto da cui abbiamo ricevuto il malware, sono finiti da qualche parte, inclusi eventuali contenuti riservati o allegati che gli abbiamo inviato.

Le e-mail, infatti, provengono da server o account cui i criminali hanno avuto accesso, tipicamente da altre caselle di posta utilizzate come “vettore” per i messaggi del nostro contatto.

Osservando le caratteristiche tecniche delle e-mail, si nota chiaramente come il canale da cui arrivano è in genere un profilo di posta elettronica di qualche inconsapevole utente cui hanno in qualche modo rubato l’accesso alla mailbox.

Cos’è successo al contatto che ci ha inviato il malware

Gli scenari che hanno portato il nostro contatto a subire l’attacco che ha portato all’accesso alla sua casella di posta sono diversi. Il primo è quello di un malware – dello stesso tipo di quello che abbiamo ricevuto da lui – che oltre ad acquisire password e intercettare movimenti bancari, accede alla casella di posta e ne acquisisce il contenuto.

In sostanza, il nostro contatto può essere stato a sua volta una vittima della nuova variante di Emotet, utilizzata poi come “vettore” per divulgare ulteriormente il malware.

Il secondo scenario è quello di un accesso alla sua casella di posta elettronica ottenuto acquisendo le credenziali dai vari data leak usciti sul Dark Web e ora accessibili a chiunque.

Se la password utilizzata per proteggere la sua casella di posta è identica a quella utilizzata su uno dei servizi oggetto di attacco e divulgazione di credenziali, è facile che questo abbia permesso ai criminali l’accesso alla sua mailbox.

Esistono siti – come Have I Been Pwned o Ghost Project – che permettono di verificare se le proprie credenziali sono diventate pubbliche a causa di qualche data breach occorso in passato ai servizi dove ci siamo registrati.

Il terzo scenario è quello più tipico, e forse banale, del phishing. Il nostro contatto può aver digitato le credenziali del suo account su qualche sito web dopo aver ricevuto un’e-mail che minacciava, ad esempio, la chiusura della casella di posta o del suo sito web.

Con tale password, i criminali sono in grado di accedere ai contenuti della casella, tramite protocolli IMAP o POP3, e scaricarne interamente il contenuto e quindi anche i contatti, così da poter poi utilizzare i messaggi indebitamente scaricati per diffondere il malware che permetterà loro di accedere a password e conti bancari delle vittime.

Consigli per evitare l’attacco

I consigli per evitare di diventare a nostra volta vettori di Emotet e quindi permettere ai criminali di utilizzare la nostra casella di posta per divulgare malware, sono gli stessi che si raccomandano da anni per proteggere il proprio account:

  • utilizzare password diverse per ogni profilo;
  • attivare meccanismi di autenticazione a due fattori;
  • attivare ove possibile l’invio di messaggi di allerta in caso di accessi anomali;
  • verificare saltuariamente gli indirizzi IP dai quali avvengono i login.

Sono tutti espedienti che aiutano a rafforzare la sicurezza di un account, non solamente di posta elettronica.

È importante, poi, evitare di cliccare su link contenuti nei messaggi di posta elettronica, non credere alle richieste di reimpostazione password o di verifica sulla sicurezza del proprio account che richiedono l’inserimento delle credenziali: sono ulteriori precauzioni che evitano o almeno riducono la possibilità di attacco tramite phishing.

Per quanto riguarda invece la protezione del proprio PC, certamente un antivirus con antimalware, sandbox e firewall può essere un buon supporto per ridurre le possibilità d’infezione da malware.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5