skip to Main Content

Cybercrime, Emotet torna alla carica con payload aggiornati e una nuova campagna

Di Pierguido Iezzi

Torna Emotet con payload aggiornati e una nuova campagna

Come noto oramai da qualche mese, dopo una tregua durata quasi due mesi, la botnet Emotet è tornata alla carica con payload aggiornati e una nuova campagna d’attacco che sta colpendo 100.000 obiettivi al giorno. Nel 2014, il malware era una “semplice” banking trojan. Nel corso degli ultimi anni, però, non ha mai smesso di evolversi, fino a diventare un sistema completo per la consegna di minacce virtuali. Oggi, Emotet è infatti in grado di installare un’ampia gamma di malware sulle macchine delle vittime, compresi programmi per sottrarre informazioni, harvester di email, meccanismi di auto propagazione e ransomware.

Le ultime azioni d’attacco di Emotet

L’ultimo attacco del cybercrime su larga scala è avvenuto negli Stati Uniti a ottobre. L’obiettivo è stato il Comitato Nazionale Democratico (DNC). In precedenza, era tornata a farsi notare a luglio, dopo un periodo di dormienza di qualche mese, rilasciando il trojan Trickbot. A febbraio Emotet si era reso protagonista di una campagna durante la quale sono state inviate migliaia di messaggi SMS apparentemente provenienti dalle banche delle vittime di COVID-19. Queste azioni periodiche, ma non continuative sono una delle caratteristiche del malware, da sempre caratterizzato dalla caduta in stato di inattività per settimane o mesi interi. Nel 2020, una di queste interruzioni è durata da febbraio a metà luglio, la pausa più lunga che sia stata mai registrata negli ultimi anni. Da allora, è stata ravvisata una sua regolare attività fino alla fine di ottobre. Poi, fino al periodo natalizio, c’era stata quasi calma assoluta.

L’arrivo di Trickbot

La botnet è rimasta fedele alla linea anche per quanto riguarda il payload maligno, secondo quanto trapela dalle parole dei team di ricerca che hanno osservato il suo sviluppo. A ottobre dello scorso anno i payload utili secondari di Emotet più comuni erano TrickBot, Qakbot e ZLoader; a Natale invece è stato protagonista TrickBot. Questo è un noto e sofisticato trojan sviluppato per la prima volta nel 2016 sotto forma di malware per il settore bancario. Così come visto nella cronistoria di Emotet, anche questo malware ha una storia di trasformazione e di continua evoluzione con l’aggiunta di nuove funzionalità per eludere il rilevamento o per aumentare il potenziale infettivo.  Gli utenti infettati dal trojan vedranno il loro dispositivo diventare parte di una botnet che gli aggressori utilizzano per caricare malware di secondo stadio – i ricercatori di cybersecurity di Cofense lo hanno giustamente definito un “sistema di rilascio ideale per quasi tutti i payload aggiuntivi”. Le conseguenze tipiche delle infezioni da TrickBot sono l’acquisizione di dati relativi a conti bancari, per eseguire frodi bancarie o attacchi con ransomware. Emotet ha recentemente implementato funzionalità aggiuntive che hanno l’obiettivo di ispezionare i firmware UEFI/BIOS dei sistemi nel mirino. Dopo il takedown della botnet da parte di Microsoft, avvenuto a ottobre, questa è tornata in auge proprio nel periodo festivo.

I dettagli dell’attacco natalizio

Diverse società di cybersecurity hanno notato gli effetti dell’ultima campagna. Ad esempio, Proofpoint ha pubblicato questo tweet: “Stiamo vedendo oltre 100.000 messaggi in inglese, tedesco, spagnolo, italiano e altri ancora. Le esche prevedono anche l’utilizzo di thread hijacking con allegati Word, file zip con password pw e URL”. Il Thread hijacking è una nuova “arma” che Emotet ha aggiunto al proprio arsenale in autunno, come segnalato dai ricercatori di Palo Alto Networks. Con questo termine si intende letteralmente il “dirottamento di una conversazione via e-mail”. In pratica, gli operatori si inseriranno in una conversazione e-mail esistente, rispondendo a una vera e-mail inviata da un utente considerato affidabile dal target. Per questa ragione, il destinatario non avrà motivo di pensare che l’email sia malevola.

Gli attori del cybercrime dietro al malware puntano a campagne brevi e concentrate?

Per quanto visto finora, su Emotet ci sono stati solo piccoli cambiamenti. Per esempio, il binary del malware ora viene servito come DLL invece che come .exe.  Curiosamente, in genere la botnet cessa la propria attività dal 24 dicembre all’inizio di gennaio. Se dovesse continuare con questo modello d’attacco, segnerebbe un nuovo approccio, con campagne molto brevi e inusuali rispetto a quanto visto finora. I ricercatori di Malwarebytes nel frattempo hanno notato che le minacce utilizzano diverse esche di phishing per convincere i target con il social engineering ad azionare le macro – fra questi temi relativi al COVID-19. Inoltre, hanno osservato che la banda di Emotet carica il suo payload attraverso un falso messaggio di errore. Emotet è anche molto temuto per le sue alleanze con altre organizzazioni criminali, specialmente quelle attive nel business del ransomware. La triade Emotet – TrickBot – Ryuk aveva scatenato il caos nel periodo natalizio 2018.

Back To Top