Negli ultimi anni, Emotet è diventato uno degli strumenti più longevi dei professionisti del cybercrimine. Scoperto per la prima volta sotto forma di trojan bancario nel 2014, il malware si è evoluto in una soluzione completa per crimini informatici, agendo come grimaldello per aprire porte sui computer preparandoli ad ulteriori infezioni.
“Emotet viene sviluppato in modo sistematico e continuativo da anni”, afferma Anton Wendel, Security Engineer presso G DATA Advanced Analytics. “Ci sono giorni in cui rileviamo fino a 200 nuove varianti di Emotet, uno sviluppo rapidissimo, indice del costante tentativo dei cybercriminali di rendere il malware meno riconoscibile per le soluzioni antivirus.”
Le analisi condotte da Wendel mostrano che persino nelle giornate più tranquille vengono prodotte almeno 25 nuove versioni di questo malware. Minacce bloccate con successo da G DATA con la sua nuova tecnologia DeepRay basata sull’intelligenza artificiale.
Diffusione tramite documenti Word
A differenza di altri malware, Emotet non viene distribuito tramite exploit kit o browserweb. Di norma il malware raggiunge i computer delle vittime tramite allegati mail infetti in formato word. I criminali cercano di inviare messaggi sempre diversi ai malcapitati per fargli attivare, con trucchi adeguati, il contenuto attivo del documento, in genere macro. L’infezione è quindi cagionata in massima parte dall’utente invogliato da cybercriminali nella maniera più creativa a cliccare sul pulsante “attiva contenuto attivo”. A volte, ad esempio, il messaggio menziona che il documento è stato creato con una versione di Office online o segnala problemi di compatibilità.
“Per le aziende proteggersi contro le infezioni da Emotet dovrebbe essere un gioco da ragazzi”, commenta Wendel. “L’esecuzione di macro può essere interamente disabilitata impiegando un’adeguata policy di gruppo. Ove l’uso di macro fosse essenziale per l’operatività aziendale, sarebbe opportuno firmare le macro di propria produzione e consentire l’esecuzione delle sole macro firmate.”
I consumatori invece non hanno alcuna necessità di utilizzare le macro, quindi – apparentemente – non ci sarebbe alcun motivo per attivarle.
Emotet, un vero tuttofare?
Emotet è dotato di ampie funzionalità di spionaggio. Trasferisce ai criminali informazioni sui processi attivi sui computer, traendone importanti conclusioni sull’uso del PC – tra cui, ad esempio, se vi è installato un software per la contabilità. Emotet integra altresì numerosi moduli attivabili da remoto. Da notare tuttavia, che non tutte le funzioni menzionate qui di seguito sono eseguite su ogni computer infetto. Il server di comando e controllo decide autonomamente quali moduli attivare.
Furto delle credenziali
Usando il software di Nirsoft, Emotet è in grado di copiare le password archiviate sul computer. Tra queste soprattutto le credenziali presenti in Outlook o Thunderbird, come anche qualunque password memorizzata nel browser. L’uso di un password manager esterno offre un maggior livello di sicurezza.
Un altro modulo Emotet distribuisce spam, che però non consta dei tipici messaggi su medicinali o potenziatori sessuali. Il malware abusa delle risorse del computer infetto per continuare la campagna di diffusione. In questo frangente Emotet è una vera e propria soluzione chiavi in mano. Avendo accesso alla rubrica dei contatti, i cybercriminali possono ricostruire la rete di relazioni dell’utente e inviare agli interlocutori messaggi individuali. Per farlo Emotet si avvale dell’interfaccia per la programmazione di applicazioni di messaggistica (MAPI – Messaging Application Programming Interface).
Queste funzioni vengono caricate come modulo nello stesso processo di infezione Emotet e sono eseguite senza salvare alcun file sul disco rigido. Una tattica che ne rende ancora più difficile il rilevamento. In poche parole, Emotet impiega per i suoi moduli la stessa strategia dei malware file-less. Una volta installato il modulo, il codice viene rimosso dalla memoria per evitare qualsiasi analisi.
Attraverso una componente worm, Emotet è anche in grado di diffondersi su altri computer all’interno di una rete senza che alcun utente debba cliccare su un allegato per attivarlo, impiegando il protocollo SMB (Server Message Block), utilizzato anche da WannaCry per infettare centinaia di migliaia di sistemi in tutto il mondo. Tuttavia, WannaCry sfruttava ulteriori vulnerabilità di Windows per diffondersi.
Il malware legge anche i token di accesso alla memoria locale di Windows e li usa per loggarsi su altri computer. Se l’utente di un sistema infetto dispone di privilegi elevati – ad esempio di un accesso amministratore alle risorse di rete – l’attacco si rivela particolarmente efficace.
Emotet può essere anche configurato in modo da eseguire attacchi “brute force” contro specifici account utilizzando le credenziali di accesso archiviate sul computer ed è anche in grado di implementare un server proxy sui sistemi infetti per camuffare al meglio le proprie attività come la propria infrastruttura di comando e controllo, bypassando in questo modo anche eventuali blocchi esistenti su range di indirizzi IP utilizzati dalla propria infrastruttura.
Codici binari al posto dei processi
Oltre ai moduli citati qui sopra, Emotet può anche scaricare in un secondo momento malware classici, di norma trojan bancari come Zeus Panda, Corebot, Trickbot or Gozi. Di recente però si riporta sempre più frequentemente che Emotet scarichi sul PC anche ransomware come Ryuk attivandoli solo a posteriori di un’analisi approfondita dei sistemi aziendali. Ciò presuppone che i cybercriminali raccolgano tramite Emotet anche informazioni per determinare se valga la pena condurre ulteriori attacchi al o tramite il sistema infetto e quanto elevato dovrà essere il riscatto per non risultare troppo oneroso per le vittime.