Come annunciato pochi giorni fa da Brad Duncan, il malware Emotet è tornato ad essere attivo e a colpire grazie a email di spam che farebbero partire il processo di infezione, come mostrato nello schema seguente.

Secondo Duncan, le email che si presentano con allegati compressi, documenti di Word o Excel, sfruttano la tecnica del reply-chain per far sembrare di appartenere ad un thread precedente e indurre il destinatario ad aprire l’allegato. Le email hanno un aspetto simile alle immagini seguenti.

Gli allegati Word o Excel contengono macro dannose che si attivano cliccando il pulsante Abilita il contenuto e/o Abilita modifica, nella parte superiore della finestra; a questo punto le macro contenute nei documenti scaricano sul PC delle DLL tramite PowerShell, le quali verranno copiate in una cartella a caso nel PC.

Contemporaneamente verrà attivata una chiave di registro per far si che il malware si possa attivare all’avvio di Windows; a questo punto il malware resterà in attesa che vengano inviati dei comandi remoti dai malfattori, comandi che permetteranno di rubare informazioni dalle email, inviare ai contatti il malware Emotet, caricare ad esempio trojan o altro malware.

I suggerimenti per evitare Emotet sono sempre i soliti in questi casi: Emotet si attiva in seguito all’intervento dell’utente che clicca su link o apre allegati di dubbia provenienza, quindi diventa di primaria importanza evitare di cliccare o aprire link ed allegati presenti in email che paiono poco affidabili o destano sospetti!

Giornata Digitale di Lugano 2021
Translate »