Home > Altro > Emotet – L’analisi ESET dell’ultima campagna

Emotet – L’analisi ESET dell’ultima campagna

scritto da: Elygiuliano | segnala un abuso

Emotet – L’analisi ESET dell’ultima campagna


A novembre abbiamo diffuso diversi comunicati su una nuova e vasta campagna di spam utilizzata per distribuire Emotet. Considerando la portata dell’attacco in alcuni paesi dell’America Latina e le numerose richieste ricevute nei giorni scorsi, abbiamo deciso di pubblicare una breve spiegazione su come funziona questa campagna.

Negli ultimi anni abbiamo notato come i criminali informatici abbiano approfittato della suite Microsoft Office per diffondere le loro minacce, da semplici macro incorporate nei file fino allo sfruttamento delle vulnerabilità. In questa occasione, tuttavia, la tecnica utilizzata risulta un po’ insolita, infatti viene sfruttato un downloader incorporato in un file di Office. Ciò ha causato confusione tra molti utenti, che ci hanno chiesto di spiegare come funziona la minaccia.

La diffusione inizia con un messaggio di posta elettronica che non ha nulla di particolarmente speciale. Come ci si potrebbe aspettare, se l’utente decide di scaricare l’allegato email e di aprire il documento, questo gli chiede di abilitare le macro.

Chiaramente questo comportamento è già noto per essere pericoloso, tuttavia, il trucco utilizzato dai criminali informatici in questa campagna ha diverse caratteristiche insolite. Se si sceglie di analizzare la macro, si scopre che non è molto grande e, a prima vista, non sembra essere una di quelle conosciute che cercano di connettersi a un sito Web per scaricare del contenuto … ma è davvero così? Osservando il codice della macro, emerge chiaramente che la sua funzione è quella di leggere il testo da un oggetto. Ma dove si trova l’oggetto? Dopo averlo cercato, si scopre che è incorporato in maniera impercettibile nella pagina.

In effetti, questa casella di testo contiene un comando “cmd” che avvia uno script PowerShell che tenta di connettersi a cinque siti per scaricare la propria payload, che in questo caso è una variante offuscata di Emotet.

Come abbiamo discusso in altri precedenti articoli, una volta eseguita la payload, il codice stabilisce la propria persistenza sul computer e la segnala al proprio server C & C. Completata questa infezione iniziale, possono verificarsi ulteriori download, installazione di moduli di attacco e payload secondarie che eseguono altri tipi di azioni sul computer compromesso.

I vari moduli aggiuntivi estendono la gamma di attività dannose in grado di compromettere il dispositivo dell’utente, al fine di sottrarre credenziali, propagarsi sulla rete, raccogliere informazioni sensibili, effettuare port forwarding e molte altre azioni.

Sebbene non sia affatto una tecnica nuova, questo piccolo cambiamento nel modo in cui avviene l’esecuzione di Emotet, nascosto nel file Word, dimostra quanto possano essere subdoli i criminali informatici quando si tratta di celare le loro attività dannose e cercare di compromettere le informazioni degli utenti. Mantenersi costantemente aggiornati sui tipi di tecniche utilizzate fornirà sempre un buon vantaggio nell’identificare queste campagne dannose, come pure l’utilizzo di strumenti di sicurezza affidabili e continuamente aggiornati.

 

Per ulteriori informazioni su ESET è possibile visitare il sito: https://www.eset.com/it/


Fonte notizia: https://blog.eset.it/2019/01/emotet-lanalisi-eset-dellultima-campagna/


ESET | Emotet |



Commenta l'articolo

 

Potrebbe anche interessarti

Il Trojan bancario Emotet torna a colpire: avviata una nuova campagna di spam su larga scala


ESET premiata da AV-Comparatives per le soluzioni di sicurezza business e consumer


ESET presenta ESET Full Disk Encryption, la soluzione di crittografia che protegge i dati sia nel mondo reale che in quello digitale


ESET presenta la nuova linea di soluzioni di sicurezza per gli utenti privati


ESET inaugura la nuova linea di soluzioni per la sicurezza aziendale


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

Al via i convegni online di Future Time sulla cybersecurity: ransomware e inadeguatezza del privacy shield al centro del primo appuntamento

Al via i convegni online di Future Time sulla cybersecurity: ransomware e inadeguatezza del privacy shield al centro del primo appuntamento
L’evento si svolgerà in collaborazione con Stormshield Future Time, azienda romana attiva dal 2001 nella distribuzione di soluzioni per la sicurezza informatica, è lieta di annunciare il primo di una serie di convegni online in collaborazione con Stormshield, leader europeo nella sicurezza delle infrastrutture digitali. Nell'appuntamento del 27 maggio, dal titolo “Dove nascono le rughe del Ciso: ransomware e inadeguatezza del privacy shield sorve (continua)

COME SVILUPPARE UNA MUNICIPALITA’ DIGITALE E RIMANERE AL SICURO: L’ESEMPIO DI TEL AVIV, UNA DELLE CITTA’ PIU’ SMART AL MONDO

COME SVILUPPARE UNA MUNICIPALITA’ DIGITALE E RIMANERE AL SICURO: L’ESEMPIO DI TEL AVIV, UNA DELLE CITTA’ PIU’ SMART AL MONDO
Baciata dal sole del Mar Mediterraneo, Tel Aviv è uno dei migliori esempi di metropoli moderna, grazie ai suoi teatri, scuole d’arte, università, ristoranti che propongono ogni tipo di cucina, eventi sportivi, trasporti pubblici, una frequentatissima spiaggia e il più grande numero di start up per persona al mondo Negli anni Tel Aviv ha ricevuto una serie numerosa di riconoscimenti, tra cui quello di migliore metropoli in crescita, migliore gay city e, cosa più importante, città più smart al mondo. Tel Aviv ha dotato infatti i suoi cittadini di una rete Wi-Fi libera in tutta la città, insieme ad una applicazione che ha raggiunto il 60% dell’utilizzo da parte dei residenti nei primi 5 anni dalla sua in (continua)

Future Time distribuirà WOZON, la scatola nera della cybersecurity

Future Time distribuirà WOZON, la scatola nera della cybersecurity
Future Time, azienda romana attiva dal 2001 nella distribuzione di soluzioni per la sicurezza informatica, annuncia di aver siglato una partnership con WOZON per la distribuzione dell’omonimo software dedicato alla protezione del patrimonio aziendale Il software WOZON, interamente sviluppato in Italia da un team di tecnici specializzati in digital forensics, supporta le aziende nella tutela della proprietà intellettuale e nelle fasi di investigation interna a seguito di incidente informatico o contenzioso di lavoro, fornendo elementi che attestino l'implementazione di adeguate misure di sicurezza. Il sistema è una “scatola nera della cybe (continua)

Ariana Grande, sfruttato l’audio di Positions per rubare le credenziali di Microsoft 365

Ariana Grande, sfruttato l’audio di Positions per rubare le credenziali di Microsoft 365
I consigli degli esperti di Odix per proteggere la posta elettronica da attacchi indesiderati A fine marzo i ricercatori del team di Odix hanno individuato una estesa campagna di phishing che sfruttava un link alla riproduzione di Positions di Ariana Grande per rubare le credenziali di Microsoft 365 dei malcapitati utenti, pubblicandoli poi su un feed RSS. La dinamica del phishing utilizzata in questo caso è comune a molte altre campagne di questo tipo: l’utente riceve una mail (continua)

Sfruttata la funzionalità Link sicuri di Microsoft per una campagna di phishing

Sfruttata la funzionalità Link sicuri di Microsoft per una campagna di phishing
I consigli degli esperti di Odix per proteggere la posta elettronica da attacchi indesiderati Il 24 febbraio i ricercatori del team di Odix hanno individuato una estesa campagna di phishing attuata attraverso un allegato HTML che simulava una pagina di login Microsoft.Nulla di strano fin qui, considerato che Microsoft è la piattaforma maggiormente utilizzata per le campagne di phishing. Analizzando attentamente il link adoperato in questa campagna, gli esperti di Odix si sono però acc (continua)