I ricercatori del team Proofpoint Threat Insights hanno individuato una nuova attività del malware Emotet. La sua botnet sarebbe tornata alla ribalta con un modulo specificamente pensato per raccogliere informazioni sulle carte di credito memorizzate nei profili degli utenti di Google Chrome.
Indice degli argomenti
Il nuovo modulo Emotet
Poiché molti utenti, per comodità, salvano i dati quali il numero della carta di credito e il codice CVC/CVV all’interno di Google Chrome, la nuova variante di Emotet rappresenta un pericolo quanto mai concreto.
Secondo gli analisti di sicurezza, dopo aver rubato le informazioni sulla carta di credito (nome, mese e anno di scadenza, numeri di carta), il malware li invierebbe a server di comando e controllo C2 diversi rispetto a quelli utilizzati dallo stesso modulo Emotet per rubare le carte.
“Con nostra grande sorpresa si trattava di un modulo pensato per sottrarre i dati delle carte di credito che prendeva di mira esclusivamente il browser Chrome. Una volta raccolti i dati della carta, questi venivano esfiltrati su server C2 differenti da quelli del loader”. hanno dischiarato i ricercatori in un post.
On June 6th, Proofpoint observed a new #Emotet module being dropped by the E4 botnet. To our surprise it was a credit card stealer that was solely targeting the Chrome browser. Once card details were collected they were exfiltrated to different C2 servers than the module loader. pic.twitter.com/zy92TyYKzs
— Threat Insight (@threatinsight) June 7, 2022
La scoperta di questo nuovo modulo Emotet attribuito alla botnet Epoch 4 risalirebbe al 6 giugno scorso subito dopo le evidenze rilevate contemporaneamente anche da altri gruppi di ricerca sul malware circa l’aumento registrato delle attività Emotet e il passaggio a moduli a 64 bit.
Emotet, il ritorno
Il trojan bancario Emotet attivo almeno dal 2014, la cui botnet è gestita da un attore di minacce identificato come TA542, è stato utilizzato negli anni per distribuire altri codici malevoli come i trojan Trickbot e QBot e i ransomware Conti, ProLock, Ryuk ed Egregor.
Come si vede dal grafico soprastante, dal mese di novembre 2021, dopo la sua temporanea scomparsa dal panorama delle minacce (operazione LadyBird), si è potuto osservare un riemergere della botnet Emotet che a più riprese ha colpito in diverse aree geografiche con decine di migliaia di messaggi malspam fino ad arrivare ad un apparente fermo attività nel mese di aprile (OneDrive campaign).
Come anche riportato dagli analisti della società di sicurezza ESET, a seguito del ritorno della botnet Emotet si è potuto assistere ad un massiccio aumento dell’attività dall’inizio del 2022, con un incremento di oltre l’11% rispetto all’ultimo trimestre dell’anno precedente, prendendo di mira principalmente il Giappone, l’Italia e il Messico.
Inoltre, durante la cosiddetta “Vacanza di Primavera” (tra il 4 aprile 2022 e il 19 aprile 2022) gli operatori della botnet Emotet hanno iniziato a testare nuove tecniche di attacco malspam a basso volume in risposta alla decisione di Microsoft di disabilitare le macro di Visual Basic for Applications (VBA) per impostazione predefinita.
Nella fattispecie, il flusso di e-mail in questione a tema “Salary” e veicolante Emotet (Epoch 4) tramite URL di OneDrive che puntavano a file zip contenenti file Microsoft Excel Add-in (XLL) non sarebbe stato inviato dal modulo spam di Emotet ma piuttosto da caselle di posta elettronica probabilmente compromesse.
Le evidenze della comunità di sicurezza cyber in generale hanno inoltre dimostrato come l’attore delle minacce dietro Emotet sempre per non poter sfruttare le macro di Microsoft Office ora disabilitate per impostazione predefinita, abbia anche iniziato a utilizzare file di collegamento di Windows (.LNK) per eseguire comandi PowerShell e infettare i dispositivi delle vittime.
Alcune considerazioni
Si è pure scoperta ora una nuova vulnerabilità che potrebbe permettere a Emotet di rubare cookie di sessione e le credenziali di testo in chiaro direttamente dalla memoria nei browser basati su Chromium consentendo potenzialmente a un utente malintenzionato di estrarre le informazioni e utilizzarle per dirottare gli account anche degli utenti protetti dall’autenticazione multi fattore,
“I dati delle credenziali vengono archiviati nella memoria di Chrome in formato non crittografato. Oltre ai dati che vengono inseriti dinamicamente durante l’accesso ad applicazioni Web specifiche, un utente malintenzionato può far sì che il browser carichi in memoria tutte le password archiviate nel gestore delle password” ha spiegato Zeev Ben Porat, ricercatore di CyberArk.
Come affermato dagli esperti di Kroll in una loro pubblicazione Emotet non è certo morto: “Sebbene indubbiamente ferito dall’interruzione dell’anno scorso, Emotet non è certo morto. Valutiamo che gli sviluppatori di Emotet probabilmente continueranno a sperimentare nuove catene di infezione a questa cadenza aumentata.
Valutiamo inoltre che gli operatori di Emotet andranno avanti con grandi campagne di spam al fine di ricostruire la botnet, consentendo loro così di vendere l’accesso iniziale guadagnato per avere un ritorno economico sul loro investimento”.
Come difendersi dalla nuova variante di Emotet
Alla luce di tutto questo, si consiglia agli amministratori di rete e ai professionisti del settore di tenere aggiornarti i propri apparati di sicurezza con gli IoC che vengono periodicamente pubblicati dalla comunità cyber per arginare l’attività della botnet.
Fortunatamente vengono in aiuto anche due validi strumenti gratuiti Emocheck e HaveibeenEmotet rispettivamente per verificare se indirizzi e-mail o domini sono coinvolti nel malspam di Emotet e se è in corso una possibile infezione sui propri dispostivi.
Nel frattempo, il CERT-AgID conferma con il suo ultimo bollettino, per la terza settimana consecutiva, Emotet come il malware più diffuso in Italia.
