Emotet, il banking trojan si diffonde col malspam
Emotet è una famiglia di trojan bancari caratterizzata da un’architettura modulare, tecniche di persistenza avanzate e capacità di diffusione automatica simile a quello dei worm. Solitamente viene distribuito attraverso campagne di Email fraudolente che utilizzano tecniche di social engineering per rendere plausibile e quindi maggiormente ingannevole il contenuto dei messaggi, così da indurre le vittime a scaricare ed aprire gli allegati malevoli.
Emotet viene spesso utilizzato come downloader o dropper di altri malware, tra cui i trojan bancari TrickBot, Zeus Panda e IcedID e, in tempi più recenti, anche ransomware (UmbreCrypt). A causa del suo elevato potenziale distruttivo, Emotet è stato oggetto di un bollettino di sicurezza dello US-CERT a luglio del 2018.
I ricercatori di sicurezza di ESET hanno analizzato una nuova campagna di diffusione su larga scala di Emotet iniziata il 5 novembre 2018, dopo un periodo di scarsa attività. Circa una settimana prima, era stata identificata una variante di questo malware dotata di un nuovo modulo per il furto di credenziali e indirizzi Email.
Emotet utilizza allegati Microsoft Word e PDF malevoli che si presentano come fatture, notifiche di pagamento, avvisi relativi a conti bancari, apparentemente provenienti da aziende ed enti legittimi e familiari. In alternativa ai file allegati, le Email possono contenere collegamenti a file remoti pericolosi.
​
L’infezione inizia quando la vittima apre l’allegato, abilita le macro in Word seguendo le istruzioni nel documento o fa clic sul collegamento all’interno del file PDF. A questo punto viene installato e avviato il payload di Emotet, che stabilisce la persistenza sul computer e segnala il successo delle sue attività al proprio server C&C, da cui riceve le istruzioni in merito a quali moduli di attacco e payload secondarie scaricare.
I moduli aumentano le capacità di Emotet consentendogli di aggiungere funzionalità come il furto di credenziali, la diffusione sulla rete, la raccolta di informazioni sensibili, il port forwarding e altre ancora. Questo recente picco nell’attività di Emotet dimostra come questo trojan continui ad essere una minaccia attiva e in continua evoluzione.
Come sempre, si raccomanda agli utenti di esercitare estrema cautela riguardo Email di provenienza sospetta, di non aprire mai gli allegati e soprattutto di non abilitare mai l’esecuzione delle macro in documenti di Microsoft Office, anche all’apparenza legittimi.