A novembre abbiamo diffuso diversi comunicati su una nuova e vasta campagna di spam utilizzata per distribuire Emotet. Considerando la portata dell’attacco in alcuni paesi dell’America Latina e le numerose richieste ricevute nei giorni scorsi, abbiamo deciso di pubblicare una breve spiegazione su come funziona questa campagna.
Negli ultimi anni abbiamo notato come i criminali informatici abbiano approfittato della suite Microsoft Office per diffondere le loro minacce, da semplici macro incorporate nei file fino allo sfruttamento delle vulnerabilità. In questa occasione, tuttavia, la tecnica utilizzata risulta un po’ insolita, infatti viene sfruttato un downloader incorporato in un file di Office. Ciò ha causato confusione tra molti utenti, che ci hanno chiesto di spiegare come funziona la minaccia.
La diffusione inizia con un messaggio di posta elettronica che non ha nulla di particolarmente speciale. Come visto nella Figura 1, era praticamente il tipo di email che siamo abituati a vedere in queste campagne.
Figura 1 – Una tipica email di questa campagna Emotet
Come ci si potrebbe aspettare, se l’utente decide di scaricare l’allegato email e di aprire il documento, questo gli chiede di abilitare le macro. Come al solito viene fornita una giustificazione per tale requisito. La Figura 2 mostra che in questo caso sembra necessario perché il documento è stato creato usando Office 365, ma in realtà serve per eseguire una funzione inclusa nel file.
Figura 2 – Richiesta per abilitare le macro del documento
Chiaramente questo comportamento è già noto per essere pericoloso, tuttavia, il trucco utilizzato dai criminali informatici in questa campagna ha diverse caratteristiche insolite. Se si sceglie di analizzare la macro, si scopre che non è molto grande e, a prima vista, non sembra essere una di quelle conosciute che cercano di connettersi a un sito Web per scaricare del contenuto … ma è davvero così?
Figura 3 – Il codice macro VBA insolitamente compatto in questi documenti
Osservando il codice della macro, emerge chiaramente che la sua funzione è quella di leggere il testo da un oggetto. Ma dove si trova l’oggetto? Dopo averlo cercato, si scopre che è incorporato in maniera impercettibile nella pagina. Se si controlla da vicino la parte in alto a sinistra della pagina mostrata nella Figura 2, si noterà quella che sembra una scatola nera molto piccola, quadrata, solida. Espandendola se ne visualizzerà il contenuto.
Figura 4 – Visualizzazione del piccolo oggetto contenuto nella pagina
In effetti, questa casella di testo contiene un comando “cmd” che avvia uno script PowerShell che tenta di connettersi a cinque siti per scaricare la propria payload, che in questo caso è una variante offuscata di Emotet.
Come abbiamo discusso in altri precedenti articoli, una volta eseguita la payload, il codice stabilisce la propria persistenza sul computer e la segnala al proprio server C & C. Completata questa infezione iniziale, possono verificarsi ulteriori download, installazione di moduli di attacco e payload secondarie che eseguono altri tipi di azioni sul computer compromesso.
I vari moduli aggiuntivi estendono la gamma di attività dannose in grado di compromettere il dispositivo dell’utente, al fine di sottrarre credenziali, propagarsi sulla rete, raccogliere informazioni sensibili, effettuare port forwarding e molte altre azioni.
Sebbene non sia affatto una tecnica nuova, questo piccolo cambiamento nel modo in cui avviene l’esecuzione di Emotet, nascosto nel file Word, dimostra quanto possano essere subdoli i criminali informatici quando si tratta di celare le loro attività dannose e cercare di compromettere le informazioni degli utenti. Mantenersi costantemente aggiornati sui tipi di tecniche utilizzate fornirà sempre un buon vantaggio nell’identificare queste campagne dannose, come pure l’utilizzo di strumenti di sicurezza affidabili e continuamente aggiornati.
Lascia un commento