Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Il ritorno in grande stile del trojan Emotet
- MARTEDÌ 6 OTTOBRE 2020


E' attivo da oltre 5 anni, ma per qualche mese non ha dato notizie di sé: ora è tornato, diffuso con più campagne di email di spam a livello mondiale, con particolare intensità sull'Italia, come denuncia da settimane il nostro CERT-AgID. 

I Quick Heal Security Labs hanno notato, grazie alla telemetria, che le campagne di diffusione di Emotet mirano principalmente alle aziende, pur senza colpire un settore specifico. Le campagne email correlate ad Emotet sono di vario genere, a tema Covid-19 o vaccino per il Covid-19, pagamenti, fatture, bolle di spedizione, cyberattacchi e molti altri... insomma, è difficile tracciare un quadro netto e definito di queste campagne e delle loro tipologie, che sono molto diversificate tra loro per temi e grafiche. Comune invece è la catena di infezione

La catena di infezione


La catena di infezione inizia con una email approntata specificatamente per colpire un'azienda o una persona. L'attaccante usa il metodo detto di "hijacking delle email" per inviare email contenenti un allegato, che solitamente è un file Word o Excel contenente una macro oppure un file PDF. In alcuni casi, il corpo email contiene un link. 

Una volta che l'attaccante accede ad un account di posta elettronica tramite hijacking, l'email con l'allegato viene inviata alle vecchie discussioni presenti già nell'account, oppure a liste di contatti già esistenti: questo fa si che le vittime ricevano l'email vettore di Emotet come fosse proveniente da un account email già conosciuto e affidabile. 

L'email di spam





Analisi del documento
I nostri tecnici hanno eseguito analisi dettagliate su alcuni campioni di campagne Emotet: la prima fase di analisi si è concentrata sull'allegato dannoso. Il documento Office contiene una macro. La macro contiene, a sua volta, codice VBA altamente offuscato. E' questo codice che è deputato alla distribuzione del payload nella catena. 

Deoffuscando il codice, si nota una doppia misura di sicurezza: alcune porzioni di codice restano offuscate.  In dettaglio è presente uno script PowerShell criptato in base64, come mostrato in figura sotto


Deoffuscando ancora il codice, si ottiene questo script PowerShell


Si può notare chiaramente, adesso, il dominio compromesso o l'URL dal quale viene scaricato l'eseguibile di Emotet. Usando i comandi PowerShell, l'eseguibile di Emotet viene scaricato nella cartella "%temp%" della macchina bersaglio. 

Analisi del Payload
Il payload è scaricato dal file sopra, come pacchetto personalizzato. Lo spacchettamento avviene al runtime. Il packer di Emotet è polimorfico, accorgimento che rende molto complessa l'individuazione basata sulle firme. 

La sua sezione risorse (.rsrc) contiene dati che sembrano indicare che il malware potrebbe essere compresso. Nella figura sotto è possibile vedere che RC Data contiene codice criptato


Il dubug del file ci ha permesso di scoprire che i dati vengono decriptati usando una versione modificata di RC4. La chiave per RC4 si trova direttamente nel codice del file. Dopo la decriptazione, il controllo passa alla shellcode decriptata. 

In alcuni file abbiamo visto l'uso di VirtualAllocExNuma per allocare nuova memoria: un "trucchetto" per rendere più veloce il processo. Poi la shellcode procede a deoffuscare molte chiamate API, come  LoadLibraryA, GetProcAddress, VirtualAlloc e VirtualProtect che vengono poi usate per risolvere le API e allocare memoria per eseguire un file PE addizionale. 


Il malware quindi alloca memoria e copia dati del file decriptato, quindi chiama VirtualProtect: infine il programma salta al vero entry point del file decriptato. Il meccanismo di diffusione delle campagne Emotet è poi rimasto sostanzialmente invariato: rimandiamo a questo articolo per ulteriori informazioni. 

Una volta eseguito, Emotet avvierà l'esfiltrazione dei dati e la comunicazione al server di comando e controllo. Durante l'invio i dati sono criptati e inviati con nomi random e un percorso random al server. Nella foto sotto è possibile vedere il traffico C2. 


Statistiche di individuazione
Quick Heal individua con successo Emotet grazie ai molteplici livelli di individuazione come Protezione Email, Protezione Navigazione, Sistema di Individuazione Comportamentale. Il grafico sotto mostra le statistiche di individuazione giornalieri negli ultimi 45 giorni. 


Conclusioni
Emotet  è ormai una minaccia persistente, con un altro tasso di successo nella diffusione via email del malware. L'attenzione principale è sul furto di email per poter eseguire diffusioni ulteriori del malware. Presenta anche porzioni di codice, con un livello moderato di offuscamento, per bypassare le tecniche di individuazione. 

Dato l'impatto prolungato del Covid19 nel mondo, c'è da aspettarsi che i cyber attaccanti continueranno ad utilizzare email a tema Covid per la diffusione del malware. Gli utenti Quick Heal sono protetti da lungo tempo da Emotet e da altre minacce diffuse con email a tema Covid19. Stiamo continuando a monitorare tali attacchi, così da poter garantire sicurezza prolungata ai nostri utenti. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 22 OTTOBRE 2020
Quick Heal supporta il Windows 10 October 2020 Update
Microsoft ha recentemente reso disponibile un nuovo update per Windows 10, il Windows 10 October 2020 Update (Versione build 20H2). Ecco qui gli elementi chiave di questo...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2020 nwk - Privacy Policy - Cookie Policy - Login