Una settimana dopo aver aggiunto un inedito modulo per la raccolta di contenuti email e dopo un periodo di scarsa attività, i criminali autori di Emotet hanno lanciato una nuova campagna di spam su larga scala.
Cos’è Emotet?
Emotet è una famiglia di Trojan bancari famosa per la sua architettura modulare, le tecniche di persistenza e il sistema di diffusione automatica simile a quello dei vecchi worm. Solitamente viene distribuito attraverso campagne di spam che utilizzano tecniche di social engineering per rendere estremamente plausibile e quindi maggiormente ingannevole il contenuto dei messaggi, così da indurre le vittime a eseguire i loro allegati dannosi. Il Trojan viene spesso utilizzato come downloader o dropper per avviare payload secondarie di solito maggiormente pericolose. A causa del suo elevato potenziale distruttivo, Emotet è stata oggetto di un avviso di sicurezza US-CERT a luglio del 2018.
La nuova campagna
Secondo i dati della nostra telemetria, l’ultima campagna di Emotet è stata avviata il 5 novembre 2018, dopo un periodo di scarsa attività. La Figura 1 mostra un picco nel tasso di rilevamento dell’Emotet all’inizio di novembre 2018, come riportato dalla nostra telemetria.
Figura 1 – Panoramica delle rilevazioni del prodotto ESET di Emotet nelle ultime due settimane
Analizzando le informazioni per singolo paese, come mostrato nella Figura 2, quest’ultima campagna Emotet sembra essere più attiva nelle due Americhe, nel Regno Unito, in Turchia e in Sudafrica.
Figura 2 – Distribuzione dei rilevamenti ESET di Emotet nel mese di novembre 2018 (compresi i rilevamenti di file e di rete)
In questa attuale campagna, Emotet impiega allegati Word e PDF dannosi che si presentano come fatture, notifiche di pagamento, avvisi su conti bancari, ecc., apparentemente provenienti da aziende ed enti legittimi. In alternativa ai file allegati, le email includono dei collegamenti a file remoti pericolosi. I contenuti delle email utilizzate nella campagna suggeriscono un targeting di utenti di lingua inglese e tedesca. La figura 3 mostra l’attività di Emotet nel novembre 2018 considerando i rilevamenti di documenti. Le figure 4, 5 e 6 sono email e allegati di esempio sfruttati in questa campagna.
Figura 3 – Distribuzione dei rilevamenti ESET dei documenti relativi a Emotet nel novembre 2018
Figura 4 – Esempio di un’email di spam utilizzata nell’ultima campagna Emotet
Figura 5 – Esempio di un documento Word dannoso utilizzato nell’ultima campagna Emotet
Figura 6 – Esempio di un PDF dannoso utilizzato nell’ultima campagna Emotet
Lo scenario tipico di un’infezione causata da questa campagna di novembre 2018 inizia con la vittima che apre un file Word o PDF dannoso collegato a un’email di spam che sembra provenire da un’organizzazione legittima e familiare.
Seguendo le istruzioni nel documento, la vittima abilita le macro in Word o clicca sul collegamento nel PDF. A questo punto la payload di Emotet viene installata e avviata, stabilisce la persistenza sul computer e segnala il successo delle sue attività al proprio server C & C, da cui poi riceve le istruzioni in merito a quali moduli di attacco e payload secondarie scaricare.
I moduli aumentano le capacità della payload consentendogli di aggiungere funzionalità come il furto di credenziali, la diffusione sulla rete, la raccolta di informazioni sensibili, il port forwarding e altre ancora. Per quanto riguarda le payload secondarie, questa campagna ha visto Emotet rilasciare sulle macchine compromesse malware come TrickBot e IcedId.
Conclusione
Questo recente picco nell’attività di Emotet dimostra che continua a essere una minaccia attiva – e sempre più preoccupante a causa dei recenti aggiornamenti dei suoi moduli. I sistemi ESET rilevano e bloccano tutti i componenti Emotet.
Indicatori di compromessione (IoC)
Esempio di hash
Si noti che le nuove versioni dei file binari di Emotet vengono rilasciate all’incirca ogni due ore, pertanto gli hash potrebbero non essere gli ultimi disponibili.
Emotet
3 Comments