Uno dei ceppi di malware più longevi e più letali è tornato sulla scena. Chiamato Emotet, creato nel 2014 da un gruppo di hacker con vari nomi tra cui TA542, Mealybug e MUMMY SPIDER, ha iniziato come un semplice Trojan bancario.
Nel corso degli anni, la sua storia è stata seguita dai ricercatori che hanno evidenziato come il malware abbia beneficiato di costanti miglioramenti.
Nel 2017 i suoi creatori avevano incluso nelle sue funzionalità la distribuzione di vari trojan bancari (inclusi Qakbot e TrickBot) con lo scopo di rubare le password memorizzate nel browser. I PC compromessi venivano reclutati per aiutare a formare una botnet che è stata quindi utilizzata per lanciare ulteriori attacchi di phishing. Un rapporto di Bromium pubblicato a giugno 2019 ne ha seguito l’evoluzione fino a quel momento. Il rapporto documenta come i proprietari o gli operatori di Emotet abbiano spostato la loro strategia dal furto di dati in blocco alla vendita del loro malware come servizio per consentire ad altri di utilizzarlo per i loro scopi.
Ciò che ha reso interessante Emotet erano i suoi sistemi di offuscamento ben realizzati. È stato uno dei primi esempi di malware a distribuire codice polimorfico per variare dimensioni e allegati, il che significa che avrebbe cambiato forma e procedure per tentare di eludere il rilevamento. Ha inoltre utilizzato procedure di installazione multi-strato e canali di comunicazione crittografati. Nel corso degli anni, ha sfruttato sistemi di innesco molto intelligenti, come l’invio di e-mail di spam contenenti un URL o un allegato che fingevano di essere un documento in risposta a thread di posta elettronica esistenti. X-Force di IBM ha riscontrato una variante che utilizza il virus COVID-19 come parte della sua strategia di phishing.
Nel tempo, Emotet si è espanso per includere tre diverse infrastrutture botnet, così da rendersi ancora più pericoloso. Inoltre, per rendere più credibili le loro esche phishing, traducono i loro argomenti, nomi di file e contenuti dei messaggi in modo che corrispondano ai paesi di destinazione dei loro obiettivi, producendo non solo versioni inglesi ma anche tedesche, cinesi e spagnole. All’inizio di quest’anno, i ricercatori hanno scoperto un nuovo modulo che consente al malware di trovare password in chiaro (o facilmente identificabili) delle reti WiFi vicine da infettare.
Alla fine del 2018 sembrava che Emotet fosse ormai in disuso, ma la situazione sembra cambiata. Agli inizi del 2020 per cinque giorni ha inviato quasi due milioni di e-mail di phishing. E a luglio, è stata osservata un’altra variante che ha distribuito almeno 250.000 esche per phishing, principalmente rivolte agli utenti degli Stati Uniti e del Regno Unito. Malwarebytes ha campioni delle e-mail utilizzate e maggiori specifiche sul suo funzionamento. Sembra infatti che stia usando un nuovo modello di Word per il suo allegato infetto, ma al momento non si sa molto altro di più.
Difesa organizzata
Data la sua lunga storia – come per tutte le famiglie di malware – non sorprende che gli esperti di sicurezza si siano uniti per cercare di fermarne la sua diffusione. I primi sforzi di questo gruppo di circa due dozzine di hacker etici si sono unite dando vita a Cryptolaemus. Il gruppo è composto da ricercatori sulla sicurezza di fornitori concorrenti, professionisti IT e altri cacciatori di malware. Hanno regolari incontri virtuali su canali Slack e Telegram per assegnare compiti specifici e condividere le migliori pratiche. Tale sforzo si è reso necessario a seguito di attacco di questo malware avvenuto ai danni di uno dei membri del gruppo .
Pubblicano quotidianamente avvisi di centinaia di indirizzi IP del server dei comandi di Emotet, linee tematiche di phishing tipiche e hash di file sul loro sito Web. I post quotidiani includono anche notizie e altre informazioni utili per i cacciatori di virus. Scorrendo questo dump di dati si evince che Emotet è ancora molto attivo e in uso. “Abbiamo visto i creatori di Emotet cambiare tattica in pochi minuti dopo aver pubblicato i nostri rapporti”, ha riportato uno dei membri di Cryptolaemus.
Come se ciò non bastasse, è stato scoperto un nuovo vigilante della sicurezza. Questo individuo ha avvelenato circa un quarto dei file scaricati da Emotet con innocue GIF animate di celebrità. Individuato alla fine di luglio questa azione impedisce al malware di infettare i sistemi. Un post di ZDnet mostra come il vigilante è stato in grado di modificare il malware Emotet ed effettuare la sostituzione. L’identità del vigilante rimane sconosciuta, anche se alcuni ricercatori hanno ipotizzato che potrebbe essere un gruppo criminale rivale.
Come proteggersi
Ormai la maggior parte dei prodotti per la protezione degli endpoint è in grado di riconoscere e bloccare Emotet, inclusi gli strumenti antivirus di Avast. Ciò non significa che gli sviluppatori di Emotet non siano al lavoro per trovare un modo per aggirare questo problema: se si esamina la storia di Emotet, è possibile capire come gli autori lo abbiamo costantemente aggiornato per eludere la rilevazione.
La US CISA ha emesso un avviso a gennaio 2020 in cui descrive varie tattiche da utilizzare per cercare di evitare questo malware e le conseguenze che porta con sé. Ciò include l’aggiunta di oggetti nei Criteri di gruppo e regole firewall per bloccarlo insieme alla corretta segmentazione della rete e l’utilizzo di tecnologie di autenticazione della posta come DMARC e SPF nei domini aziendali. Dato l’ultimo sviluppo per la ricerca di punti di accesso WiFi nelle vicinanze, è necessario assicurarsi di aver modificato le impostazioni predefinite sulle proprie reti wireless e utilizzare password abbastanza complesse. Può essere di aiuto anche disabilitare le macro nei documenti Office come anche bloccare l’esecuzione automatica dagli allegati di posta elettronica, un trucco comune a molti malware e non esclusivo di Emotet. In alternativa si consiglia di aprire in sicurezza questi documenti in Google Documenti.
Lascia un commento