L'ANALISI TECNICA

Il malware Emotet ora ruba le carte di credito agli utenti di Google Chrome: i dettagli

È stata identificata una nuova variante del trojan bancario Emotet in grado di raccogliere informazioni sulle carte di credito memorizzate nei profili degli utenti del browser Chrome. Ecco tutti i dettagli e i consigli per difendersi

20 Giu 2022
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

I ricercatori del team Proofpoint Threat Insights hanno individuato una nuova attività del malware Emotet. La sua botnet sarebbe tornata alla ribalta con un modulo specificamente pensato per raccogliere informazioni sulle carte di credito memorizzate nei profili degli utenti di Google Chrome.

Il nuovo modulo Emotet

Poiché molti utenti, per comodità, salvano i dati quali il numero della carta di credito e il codice CVC/CVV all’interno di Google Chrome, la nuova variante di Emotet rappresenta un pericolo quanto mai concreto.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

Secondo gli analisti di sicurezza, dopo aver rubato le informazioni sulla carta di credito (nome, mese e anno di scadenza, numeri di carta), il malware li invierebbe a server di comando e controllo C2 diversi rispetto a quelli utilizzati dallo stesso modulo Emotet per rubare le carte.

“Con nostra grande sorpresa si trattava di un modulo pensato per sottrarre i dati delle carte di credito che prendeva di mira esclusivamente il browser Chrome. Una volta raccolti i dati della carta, questi venivano esfiltrati su server C2 differenti da quelli del loader”. hanno dischiarato i ricercatori in un post.

La scoperta di questo nuovo modulo Emotet attribuito alla botnet Epoch 4 risalirebbe al 6 giugno scorso subito dopo le evidenze rilevate contemporaneamente anche da altri gruppi di ricerca sul malware circa l’aumento registrato delle attività Emotet e il passaggio a moduli a 64 bit.

Emotet, il ritorno

Il trojan bancario Emotet attivo almeno dal 2014, la cui botnet è gestita da un attore di minacce identificato come TA542, è stato utilizzato negli anni per distribuire altri codici malevoli come i trojan Trickbot e QBot e i ransomware Conti, ProLock, Ryuk ed Egregor.

Trama dei volumi di posta elettronica di Emotet da novembre 2021

Come si vede dal grafico soprastante, dal mese di novembre 2021, dopo la sua temporanea scomparsa dal panorama delle minacce (operazione LadyBird), si è potuto osservare un riemergere della botnet Emotet che a più riprese ha colpito in diverse aree geografiche con decine di migliaia di messaggi malspam fino ad arrivare ad un apparente fermo attività nel mese di aprile (OneDrive campaign).

Come anche riportato dagli analisti della società di sicurezza ESET, a seguito del ritorno della botnet Emotet si è potuto assistere ad un massiccio aumento dell’attività dall’inizio del 2022, con un incremento di oltre l’11% rispetto all’ultimo trimestre dell’anno precedente, prendendo di mira principalmente il Giappone, l’Italia e il Messico.

Inoltre, durante la cosiddetta “Vacanza di Primavera” (tra il 4 aprile 2022 e il 19 aprile 2022) gli operatori della botnet Emotet hanno iniziato a testare nuove tecniche di attacco malspam a basso volume in risposta alla decisione di Microsoft di disabilitare le macro di Visual Basic for Applications (VBA) per impostazione predefinita.

Nella fattispecie, il flusso di e-mail in questione a tema “Salary” e veicolante Emotet (Epoch 4) tramite URL di OneDrive che puntavano a file zip contenenti file Microsoft Excel Add-in (XLL) non sarebbe stato inviato dal modulo spam di Emotet ma piuttosto da caselle di posta elettronica probabilmente compromesse.

Le evidenze della comunità di sicurezza cyber in generale hanno inoltre dimostrato come l’attore delle minacce dietro Emotet sempre per non poter sfruttare le macro di Microsoft Office ora disabilitate per impostazione predefinita, abbia anche iniziato a utilizzare file di collegamento di Windows (.LNK) per eseguire comandi PowerShell e infettare i dispositivi delle vittime.

Alcune considerazioni

Si è pure scoperta ora una nuova vulnerabilità che potrebbe permettere a Emotet di rubare cookie di sessione e le credenziali di testo in chiaro direttamente dalla memoria nei browser basati su Chromium consentendo potenzialmente a un utente malintenzionato di estrarre le informazioni e utilizzarle per dirottare gli account anche degli utenti protetti dall’autenticazione multi fattore,

“I dati delle credenziali vengono archiviati nella memoria di Chrome in formato non crittografato. Oltre ai dati che vengono inseriti dinamicamente durante l’accesso ad applicazioni Web specifiche, un utente malintenzionato può far sì che il browser carichi in memoria tutte le password archiviate nel gestore delle password” ha spiegato Zeev Ben Porat, ricercatore di CyberArk.

Come affermato dagli esperti di Kroll in una loro pubblicazione Emotet non è certo morto: “Sebbene indubbiamente ferito dall’interruzione dell’anno scorso, Emotet non è certo morto. Valutiamo che gli sviluppatori di Emotet probabilmente continueranno a sperimentare nuove catene di infezione a questa cadenza aumentata.

Valutiamo inoltre che gli operatori di Emotet andranno avanti con grandi campagne di spam al fine di ricostruire la botnet, consentendo loro così di vendere l’accesso iniziale guadagnato per avere un ritorno economico sul loro investimento”.

Come difendersi dalla nuova variante di Emotet

Alla luce di tutto questo, si consiglia agli amministratori di rete e ai professionisti del settore di tenere aggiornarti i propri apparati di sicurezza con gli IoC che vengono periodicamente pubblicati dalla comunità cyber per arginare l’attività della botnet.

Fortunatamente vengono in aiuto anche due validi strumenti gratuiti Emocheck e HaveibeenEmotet rispettivamente per verificare se indirizzi e-mail o domini sono coinvolti nel malspam di Emotet e se è in corso una possibile infezione sui propri dispostivi.

Nel frattempo, il CERT-AgID conferma con il suo ultimo bollettino, per la terza settimana consecutiva, Emotet come il malware più diffuso in Italia.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5