Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Nuova massiccia campagna di distribuzione del trojan bancario Emotet

Emotet  spam  trojan   martedì, 13 novembre 2018

Emotet è una famiglia di trojan bancari caratterizzata da un’architettura modulare, tecniche di persistenza avanzate e capacità di diffusione automatica simile a quello dei worm. Solitamente viene distribuito attraverso campagne di Email fraudolente che utilizzano tecniche di social engineering per rendere plausibile e quindi maggiormente ingannevole il contenuto dei messaggi, così da indurre le vittime a scaricare ed aprire gli allegati malevoli.

Emotet viene spesso utilizzato come downloader o dropper di altri malware, tra cui i trojan bancari TrickBot, Zeus Panda e IcedID e, in tempi più recenti, anche ransomware (UmbreCrypt). A causa del suo elevato potenziale distruttivo, Emotet è stato oggetto di un bollettino di sicurezza dello US-CERT a luglio del 2018.

I ricercatori di sicurezza di ESET hanno analizzato una nuova campagna di diffusione su larga scala di Emotet iniziata il 5 novembre 2018, dopo un periodo di scarsa attività. Circa una settimana prima, era stata identificata una variante di questo malware dotata di un nuovo modulo per il furto di credenziali e indirizzi Email.

Emotet cattura Email

Funzionamento del modulo di cattura Email di Emotet (Fonte: Kryptos Research)

Stando a quanto riportato dai ricercatori di ESET, la distribuzione di questa questa campagna di novembre 2018 interessa prevalentemente gli Stati Uniti, il Messico, diversi stati sudamericani, il Regno Unito, la Turchia e il Sudafrica. Dal contenuto delle Email si evince che i bersagli di questa campagna sono prevalentemente utenti di lingua inglese e tedesca.

Emotet utilizza allegati Microsoft Word e PDF malevoli che si presentano come fatture, notifiche di pagamento, avvisi relativi a conti bancari, apparentemente provenienti da aziende ed enti legittimi e familiari. In alternativa ai file allegati, le Email possono contenere collegamenti a file remoti pericolosi.

L’infezione inizia quando la vittima apre l’allegato, abilita le macro in Word seguendo le istruzioni nel documento o fa clic sul collegamento all’interno del file PDF. A questo punto viene installato e avviato il payload di Emotet, che stabilisce la persistenza sul computer e segnala il successo delle sue attività al proprio server C&C, da cui riceve le istruzioni in merito a quali moduli di attacco e payload secondarie scaricare.

I moduli aumentano le capacità di Emotet consentendogli di aggiungere funzionalità come il furto di credenziali, la diffusione sulla rete, la raccolta di informazioni sensibili, il port forwarding e altre ancora. Questo recente picco nell’attività di Emotet dimostra come questo trojan continui ad essere una minaccia attiva e in continua evoluzione.

Nel post originale sul blog di ESET Italia è disponibile un’analisi più dettagliata di questa minaccia, assieme a diversi indicatori di compromissione (IoC).

Come sempre, si raccomanda agli utenti di esercitare estrema cautela riguardo Email di provenienza sospetta, di non aprire mai gli allegati e soprattutto di non abilitare mai l’esecuzione delle macro in documenti di Microsoft Office, anche all’apparenza legittimi.

Notizie correlate

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Scoperta variante del ransomware Rakhni con capacità di miner

6 luglio 2018

I ricercatori di Kaspersky Lab hanno individuato una nuova variante del ransomware Rakhni che introduce una funzionalità per il mining di criptovalute.Leggi tutto

Campagna di Email malevole ai danni di utenti italiani

20 giugno 2018

Il CERT-PA ha rilevato una nuova campagna di Email di spam indirizzata ad utenze italiane e volta alla diffusione di malware.Leggi tutto