Il malware Emotet e le false e-mail del Ministero dell’istruzione: i dettagli della nuova minaccia - Cyber Security 360

L'ANALISI TECNICA

Il malware Emotet e le false e-mail del Ministero dell’istruzione: i dettagli della nuova minaccia

Il malware Emotet torna a colpire l’Italia sfruttando false e-mail del Ministero dell’istruzione che sembrano provenire dai domini istruzione.it e pec.istruzione.it: ecco come riconoscere la nuova minaccia e i consigli per difendersi

07 Gen 2021
T
Gianfranco Tonello

Direttore del C.R.A.M., Centro Ricerche Anti-Malware di TG Soft

Emotet torna a colpire l’Italia con una massiccia campagna malspam che sta diffondendo il malware nascosto in false e-mail del MIUR (Ministero dell’Istruzione, dell’Università e della Ricerca) che sembrerebbero provenire da caselle di posta elettronica riconducibili al dominio @istruzione.it.

I messaggi di posta elettronica presentano in allegato un archivio compresso in formato ZIP protetto con password (indicata nel testo dell’e-mail stessa) e sembrerebbero essere in risposta ad un altro indirizzo e-mail “rubato” il cui furto risale allo scorso mese di giugno 2020.

Scaricando il messaggio infetto e aprendo il file ZIP, l’utente avvia la catena infettiva del malware Emotet che, sfruttando le sue funzionalità di trojan, mira ad ottenere l’accesso ai contatti della vittima per propagare l’infezione e a rubare informazioni personali, anche di tipo bancario.

La campagna malevola, secondo quando indicato dalla Polizia Postale, sarebbe attiva già dallo scorso 31 dicembre e conferma il fatto che l’Italia risulta essere il Paese più colpito mediante massive campagne di malspam mirate a società, pubblica amministrazione ed enti governativi.

Malware Emotet: i dettagli sulle finte e-mail del MIUR

In particolare, secondo gli analisti di TG Soft che stanno costantemente monitorando la diffusione del malware Emotet attraverso il proprio Centro Ricerche Anti-Malware, in quest’ultima ondata di attacchi sono proprio le scuole italiane ad essere pesantemente colpite: in base alle informazioni raccolte, infatti, sono numerosi sono gli indirizzi e-mail coinvolti ed appartenenti ai seguenti domini istituzionali:

  • istruzione.it
  • pec.istruzione.it
  • posta.istruzione.it
  • postacert.istruzione.it

Con l’ausilio del portale haveibeenEMOTET, dal 28 al 31 dicembre 2020 sono stati raccolti gli indirizzi e-mail relative alle campagne di malspam dei domini istruzione.it e pec.istruzione.it, in base ai Fake Sender (mittente falso), Real Sender (mittente reale) e Recipient (destinatario):

istruzione.it
Fake Sender2858
Real Sender452
Recipient7177
pec.istruzione.it
Fake Sender598
Real Sender339
Recipient2274

Questi dati confermano che le caselle di posta elettronica di istruzione.it e pec.istruzione.it sono state pesantemente colpite da Emotet: in particolare, nel caso del dominio istruzione.it, sono stati 2.858 gli indirizzi utilizzati con mittente falso (ovvero account di posta elettronica già compromessi dal malware Emotet), 452 quelli utilizzati come mittenti reali (in questo caso ci si riferisce ad account di posta elettronica non necessariamente compromessi da Emotet) e ben 7.177 gli indirizzi di posta elettronica a cui era destinato il malspam generato dalla botnet e Emotet.

Nelle figure sottostanti possiamo vedere i dati dei due domini da agosto al 31 dicembre 2020.

Le ultime campagne malevoli del malware Emotet

L’anno 2020, dunque, è terminato con il colpo di coda di Emotet che, dopo una pausa di circa due mesi, ha fatto il suo ritorno in modo inatteso nel periodo natalizio.

Emotet ha ripreso le sue massive campagne di malspam prima di Natale, il 21 e 22 dicembre per l’esattezza, per poi riprendere dal tardo pomeriggio del 28 fino alle ore due del 31 dicembre.

Il modus operandi degli ultimi anni di Emotet era quello di prendere una pausa durante le vacanze natalizie, per poi riprendere le sue campagne di malspam nella settimana successiva al Natale ortodosso.

La pausa che si è preso dal 31 ottobre, molto probabilmente ha portato Emotet a modificare il suo schema di attacco, sfruttando il periodo delle vacanze natalizie quando il personale IT è meno presente in azienda.

Dal 31 ottobre al 20 dicembre Emotet nei computer infettati si era limitato ad aggiornare la lista dei propri C2 nel suo modulo principale con cadenza quasi giornaliera, senza però apportare ulteriori modifiche.

Il 21 dicembre ha ripreso le sue campagne di malspam, che hanno portato ad un primo cambiamento del suo modulo principale passando dalla tipologia eseguibile (.exe) alla libreria (.dll). Questo cambiamento ha portato all’utilizzo del programma RunDll32 per l’esecuzione della libreria infetta di Emotet attraverso la funzione esportata “RunDLL”.

Come prima conseguenza alcuni tool gratuiti, ad esempio EmoCheck sviluppato dal Cert giapponese JPCertCC, non sono più in grado di intercettarlo nei computer infetti.

Se negli attacchi avvenuti dal 17 luglio al 30 ottobre Emotet era stato utilizzato per veicolare fondamentalmente il malware QakBot in Europa e in America, ZLoader in Giappone e sporadicamente TrickBot negli Stati Uniti, nelle campagne di malspam degli ultimi giorni è stato veicolato massivamente il malware TrickBot.

Il malware TrickBot è un trojan bancario che, oltre a rubare le credenziali di accesso bancario, risulta essere collegato alla diffusione del ransomware Ryuk. La triade Emotet-TrickBot-Ryuk potrebbe tornare a colpire pesantemente, come era già successo tra l’autunno del 2019 e l’inizio del 2020.

Nel 2020 da luglio a settembre i Paesi presi di mira da Emotet erano Australia, Nuova Zelanda, Giappone e Francia, a ottobre erano Romania e Grecia, invece nelle ultime campagne di dicembre sono entrati nel suo mirino Italia, Spagna e Sud America, come indicato nel tweet di TG Soft del 23 dicembre 2020 relativo ai destinatari delle campagne di malspam del 22 dicembre raccolte dal portale haveibeenEMOTET:

L’evoluzione delle tecniche di attacco

Le campagne di malspam di Emotet degli ultimi mesi potevano contenere in allegato un documento di Word infetto, oppure un file ZIP con la password contenente sempre un documento di Word infetto oppure un link nel corpo del messaggio. A dicembre Emotet è stato veicolato principalmente attraverso file ZIP con la password, rendendo così difficoltosa la sua identificazione via e-mail.

Emotet risulta essere molto pericoloso perché ruba sia i messaggi della posta in arrivo della vittima, sia le credenziali di autentificazione alla posta elettronica.

I messaggi della posta elettronica in arrivo rubati saranno utilizzati da Emotet nelle nuove campagne di malspam attraverso la tecnica del “thread hijacking” per impersonare la vittima ed infettarne delle nuove.

Questa tecnica di rispondere alle e-mail rubate, falsificando il mittente originale, inganna così il destinatario del messaggio che, in buona fede, procedendo ad aprirlo, si infetterà a sua volta.

Le campagne di malspam vengono inviate attraverso le stesse vittime, che entrando a far parte della botnet di Emotet, riceveranno i comandi per l’invio delle e-mail infette attraverso credenziali di autentificazioni rubate in precedenza ad altre vittime.

I consigli per difendersi dal malware Emotet

Nel nuovo anno Emotet ha già ripreso le sue campagne di malspam a partire dal tardo pomeriggio del 4 gennaio, saltando le vacanze relative al Natale Ortodosso (7 gennaio).

Se negli ultimi attacchi siamo stati vittime di Emotet, è consigliabile eseguire i seguenti passaggi:

  1. aggiornare il proprio antivirus ed eseguire una scansione sul computer infetto;
  2. verificare se all’avvio viene eseguito il programma RunDll32 di un file con nome casuale attraverso il parametro “,RunDLL” oppure “,Control_RunDLL”, in tal caso disabilitare la riga di avvio di Emotet;
  3. cambiare la password della casella di posta elettronica compromessa, per non permettere ad Emotet di utilizzarla per inviare malspam.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3