A partire dal 28 dicembre scorso Emotet è tornato a far paura; stanno infatti circolando migliaia di email contenenti un allegato compresso al cui interno è presente un file di Word, aprendo il quale si fa partire una pericolosa catena di infezione.

Emotet, uno dei trojan più temuti, utilizza la tecnica dell’invio di email di utenti precedentemente compromessi contenenti thread reali che abbinate alle tecniche di social engineering permettono di rendere credibili gli invii e quindi aumentare il successo dell’attacco. Lo scopo è quello di venire in possesso di credenziali, informazioni riservate, riuscire a penetrare nella reti o criptare tutti i dati di un’azienda.

Negli ultimi mesi si era assistito ad una pausa dell’attività di Emotet, ripresa dopo Natale in maniera molto aggressiva. Nello specifico le email inviate recentemente sono caratterizzate da contenuti noti, scambiati fino a quel momento con l’utente compromesso, in cui è presente un file compresso in formato ZIP e protetto. L’email contiene la password che l’utente dovrà inserire per aprire il file compresso. Questo un esempio:

Il file compresso contiene un documento Word, che all’apertura invita ad attivare le macro e permettere le modifiche; facendo ciò si fa partire l’attacco vero e proprio. Il documento Word è simile al seguente:

A questo punto, grazie ad uno script Powershell vengono scaricate da una delle botnet Epoch file eseguibili o dll che permettono all’infezione di attivarsi.

Come prima cosa Emotet inizierà a sua volta a propagarsi utilizzando le email e i contatti dell’utente compromesso, per poi passare al furto dei dati e delle credenziali fino ad arrivare al temutissimo blocco tramite encryption dei file dell’utente e della rete.

Tramite questo sito è possibile verificare se la propria email o il proprio dominio è stato coinvolto nelle azioni di Emotet: https://www.haveibeenemotet.com/

I suggerimenti per evitare Emotet sono sempre i soliti in questi casi: Emotet si attiva in seguito all’intervento dell’utente che clicca su link o apre allegati di dubbia provenienza, quindi diventa di primaria importanza evitare di cliccare o aprire link ed allegati presenti in email che paiono poco affidabili o destano sospetti!

Infine questo uno schema di esempio della catena di infezione tramite Emotet:

Cosa ci insegna il caso Augias e l'email di phishing di Enel
COVID-19 - LAC, stop agli spettacoli e concerti fino all'8 gennaio 2021
Translate »