SophosLabs, azienda leader nel campo della sicurezza informatica, ha di recente pubblicato uno studio su “Emotet”. Emotet è tra le famiglie di malware più problematiche e ampiamente diffuse che i ricercatori della Sophos si sono trovati ad affrontare. Tale virus agisce sia autonomamente, essendo in grado di causare danni significativi anche da solo, sia come rete di distribuzione per altri gruppi di malware. Parte del pacchetto del payload di questa infezione può, infatti, essere costituito da componenti che aiutano Emotet stesso a trovare e infettare altre vittime. Grazie a questa sua dote, tale virus svolge un ruolo centrale in un’ampia varietà di possibili infezioni.

La maggior parte degli attacchi di Emotet iniziano con un’e-mail di phishing che richiede al destinatario l’apertura di un documento Microsoft Office (.docx) dannoso. Il file può essere allegato al messaggio oppure il messaggio può contenere un collegamento per scaricare il documento da un sito Web. Quando il bersaglio della truffa apre uno di questi documenti, in realtà partirà la macro (se abilitata) di Emotet e lo avvia (di solito dalla cartella “/temp/”) sul proprio computer. Dopo aver attivato la possibilità di eseguirsi dopo ogni riavvio, mantenendo la persistenza, il malware invia le informazioni sensibili riguardo la vittima e il suo computer agli hacker che hanno progettato l’attacco. Conoscere il bersaglio, il suo dispositivo e la rete su cui è collegato aiuta i criminali a decidere quali dati sottrarre e quali invece non siano di loro interesse. Emotet installa quindi regolarmente una o più famiglie di malware trojan atte a rubare credenziali, quali Trickbot, Dridex, Ursnif o Azorult. A seconda di ciò che viene rilevato sui terminali colpiti, l’intruso può sfruttare i payload distribuiti da Emotet per installare sui PC infetti ransomware o altri virus. Per esempio, Emotet può installare Trickbot sul computer di destinazione, quindi Trickbot può installare il ransomware Ryuk sullo stesso dispositivo come in un sistema di scatole cinesi.

Segui la nostra pagina Facebook per rimanere sempre aggiornato sulle ultime novità

L’ecosistema Emotet include anche una varietà di payload che il malware può utilizzare per numerose attività accessorie. Tali payload possono rubare e decrittare le credenziali delle vittime, diffondere lateralmente il virus all’interno della rete in cui si trova la macchina infetta, sottrarre i dati del disco rigido del bersaglio per rubare la rubrica degli indirizzi e-mail, raccogliere informazioni dal contenuto dei messaggi e-mail inviati da e verso il bersaglio o persino utilizzare la macchina infetta per inviare nuove mail di spam agli indirizzi scoperti grazie a questa sua capacità.

Alcuni di questi payload aggiuntivi includono strumenti legalmente disponibili sulla rete per utenti esperti di sicurezza informatica quali Mail PassView o Browser PassView, distribuiti dall’azienda NirSoft. Questi componenti estraggono il testo del messaggio e le righe dell’oggetto da Outlook, dati che il pericoloso malware in questione può utilizzare per infettare un file documento di Word già presente in un normale scambio di posta elettronica tra la vittima e uno o più potenziali bersagli dell’attacco, utilizzando peraltro lo stesso oggetto di mail originariamente parte del messaggio. Tali tecniche aiutano l’ecosistema Emotet a crescere e prosperare, rendendolo una minaccia da non sottovalutare per i nostri computer.

Supporta il nostro blog -> Clicca mi piace sulla pagina facebook e iscriviti alla newsletter

Tweet