NEWS

Trojan bancari: è in corso una campagna di diffusione di Emotet


GIOVEDÌ 15 NOVEMBRE 2018 - 16:00


Emotet è un trojan bancario
famoso per avere una struttura a moduli, un sistema di diffusione più da worm che da malware e una lunga serie di "trucchetti" per garantirsi la persistenza sul sistema. E' una vecchia conoscenza, diffuso solitamente tramite campagne di spam che sfruttano l'ingegneria sociale per rendere credibili i propri messaggi per ingannare le vittime. Talvolta "non arriva da solo", nel senso che funge anche da downloader di altri malware secondari. E' ritenuto un malware molto pericoloso, al punta da essere stato oggetto di un avviso di sicurezza mirato, nel Luglio 2018, da parte del CERT statunitense. 

La campagna di diffusione
L'ultima campagna risulta avviata il 5 Novembre di quest'anno, dopo un lungo periodo di attività quasi inesistente (al punto che qualche ricercatore aveva azzardato l'ipotesi che Emotet fosse stato abbandonato).  Ad oggi la campagna sembra concentrarsi sul continente americano, nel Regno Unito, in Turchia e in Sud Africa, ma si registrano infezioni anche in altri stati Europei, con la Germania al secondo posto dopo il Regno Unito per numero di infezioni. Le infezioni in Italia per ora sono pochissime, ma nulla impedirebbe agli attori dietro Emotet di puntare il mirino anche sul nostro Paese. 

Come viene diffuso Emotet?
Emotet in questa campagna usa allegati dannosi Word o PDF camuffati per notifiche di pagamento, fatture, avvisi urgenti riguardanti conti bancari ecc... tutti apparentemente provenienti da aziende o enti legittimi e realmente esistenti. Più raramente queste email contengono collegamento a file remoti dannosi. Stando ai contenuti delle email, gli utenti target sembrano essere quelli di lingua inglese e tedesca. 


Come infetta i pc?
Se la vittima apre il file Word o PDF collegato alla email seguendo le istruzioni ricevute, attiva la macro dannosa. A questo punto viene installato ed eseguito il payload di Emotet, che, dopo essersi garantito la persistenza sul sistema infetto, comunica al server C&C il successo dell'infezione: il server C&C risponde con ulteriori comandi, tra i quali nuovi moduli da implementare e payload secondari da scaricare sul sistema.

Ogni modulo aggiuntivo aumenta le funzionalità di Emotet, ne rende più efficace la diffusione nella rete e la capacità di furto di informazioni e lo abilita alla ricerca di porte aperte per propagare ulteriormente l'infezione. 

Per quanto riguarda i malware secondari che Emotet porta con se, questa campagna vede in diffusione sopratutto TrickBot e IceId. 

Approfondisci
1.  Attenzione! Il Trojan TrickBot è tornato!
2.  IceId- nuovo, sofisticato Trojan bancario: un'analisi tecnica dei Quick Heal Labs
3.  I trojan bancari Emotet e TrickBot si diffondono come worm

Le ultime news

Chi siamo

Risorse

Supporto

Area informativa

 





Distributore ufficiale per l'Italia
S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482




© 2017     |     Privacy Policy     |     Cookie Policy     |     Login