Cerca nel blog

mercoledì 23 gennaio 2019

Emotet – L’analisi ESET dell’ultima campagna

A novembre abbiamo diffuso diversi comunicati su una nuova e vasta campagna di spam utilizzata per distribuire Emotet. Considerando la portata dell'attacco in alcuni paesi dell'America Latina e le numerose richieste ricevute nei giorni scorsi, abbiamo deciso di pubblicare una breve spiegazione su come funziona questa campagna.

Negli ultimi anni abbiamo notato come i criminali informatici abbiano approfittato della suite Microsoft Office per diffondere le loro minacce, da semplici macro incorporate nei file fino allo sfruttamento delle vulnerabilità. In questa occasione, tuttavia, la tecnica utilizzata risulta un po' insolita, infatti viene sfruttato un downloader incorporato in un file di Office. Ciò ha causato confusione tra molti utenti, che ci hanno chiesto di spiegare come funziona la minaccia.

La diffusione inizia con un messaggio di posta elettronica che non ha nulla di particolarmente speciale. Come ci si potrebbe aspettare, se l'utente decide di scaricare l'allegato email e di aprire il documento, questo gli chiede di abilitare le macro.

Chiaramente questo comportamento è già noto per essere pericoloso, tuttavia, il trucco utilizzato dai criminali informatici in questa campagna ha diverse caratteristiche insolite. Se si sceglie di analizzare la macro, si scopre che non è molto grande e, a prima vista, non sembra essere una di quelle conosciute che cercano di connettersi a un sito Web per scaricare del contenuto … ma è davvero così? Osservando il codice della macro, emerge chiaramente che la sua funzione è quella di leggere il testo da un oggetto. Ma dove si trova l'oggetto? Dopo averlo cercato, si scopre che è incorporato in maniera impercettibile nella pagina.

In effetti, questa casella di testo contiene un comando "cmd" che avvia uno script PowerShell che tenta di connettersi a cinque siti per scaricare la propria payload, che in questo caso è una variante offuscata di Emotet.

Come abbiamo discusso in altri precedenti articoli, una volta eseguita la payload, il codice stabilisce la propria persistenza sul computer e la segnala al proprio server C & C. Completata questa infezione iniziale, possono verificarsi ulteriori download, installazione di moduli di attacco e payload secondarie che eseguono altri tipi di azioni sul computer compromesso.

I vari moduli aggiuntivi estendono la gamma di attività dannose in grado di compromettere il dispositivo dell'utente, al fine di sottrarre credenziali, propagarsi sulla rete, raccogliere informazioni sensibili, effettuare port forwarding e molte altre azioni.

Sebbene non sia affatto una tecnica nuova, questo piccolo cambiamento nel modo in cui avviene l'esecuzione di Emotet, nascosto nel file Word, dimostra quanto possano essere subdoli i criminali informatici quando si tratta di celare le loro attività dannose e cercare di compromettere le informazioni degli utenti. Mantenersi costantemente aggiornati sui tipi di tecniche utilizzate fornirà sempre un buon vantaggio nell'identificare queste campagne dannose, come pure l'utilizzo di strumenti di sicurezza affidabili e continuamente aggiornati.

 

Per ulteriori informazioni su ESET è possibile visitare il sito: https://www.eset.com/it/




pubblicato alle

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)

Tutte le news della Rete le trovi sul:


Giornale online realizzato da una redazione virtuale composta da giornalisti e addetti stampa, professionisti di marketing, comunicazione, PR, opinionisti e bloggers. Il CorrieredelWeb.it vuole promuovere relazioni tra tutti i comunicatori e sviluppare in pieno le potenzialità della Rete per una comunicazione democratica e partecipata.

Disclaimer

www.CorrieredelWeb.it e' un periodico telematico senza scopi di lucro, i cui contenuti vengono prodotti al di fuori delle tradizionali industrie dell'editoria o dell'intrattenimento, coinvolgendo ogni settore della Societa' dell'Informazione, fino a giungere agli stessi utilizzatori di Internet, che divengono contemporaneamente produttori e fruitori delle informazioni diffuse in Rete. In questo la testata ambisce ad essere una piena espressione dell'Art. 21 della Costituzione Italiana.

Pur essendo normalmente aggiornato piu' volte quotidianamente, CorrieredelWeb.it non ha una periodicita' predefinita e non puo' quindi considerarsi un prodotto editoriale ai sensi della legge n.62 del 7.03.2001.

L'Autore non ha alcuna responsabilita' per quanto riguarda qualità e correttezza dei contenuti inseriti da terze persone. L'Autore si riserva, tuttavia, la facolta' di rimuovere quanto ritenuto offensivo, lesivo o contraro al buon costume.

Le immagini e foto pubblicate sono in larga parte strettamente collegate agli argomenti e alle istituzioni o imprese di cui si scrive. Alcune fotografie possono provenire da Internet, e quindi essere state valutate di pubblico dominio. Eventuali detentori dei diritti d'autore non avranno che da segnalarlo via email alla redazione, che provvedera' all'immediata rimozione o citazione della fonte, a seconda di quanto richiesto.

Viceversa, sostenendo una politica volta alla libera circolazione di ogni informazione e divulgazione della conoscenza, ogni articolo pubblicato sul CorrieredelWeb.it, pur tutelato dal diritto d'autore, può essere ripubblicato citando la legittima fonte e questa testata secondo quanto previsto dalla licenza Creative Common.

Questa opera è pubblicata sotto una Licenza Creative Commons Creative Commons License

CorrieredelWeb.it è un'iniziativa del Cav. Andrea Pietrarota, Sociologo della Comunicazione, Public Reporter, e Giornalista Pubblicista

indirizzo skype: apietrarota