Dopo essere comparso per la prima volta nel 2014, il malware Emotet torna periodicamente a minacciare i sistemi di aziende e privati. Per darne una definizione, Emotet è un trojan modulare, ciò significa che minaccia più fronti contemporaneamente. Viene diffuso principalmente dopo aver aperto l’allegato presente in una mail malevola.
CERT-PA ha riscontrato spesso vari tipi di campagna Emotet. In linea generale si riceve una mail con un link che porta a scaricare un file .DOC o PDF malevolo che abilita delle macro che poi procederanno all’infezione oppure la mail presenta direttamente il file infetto.
L’iter generico di diffusione e gli effetti di una campagna Emotet si compongono così:
– ricezione di una mail contenente un messaggio verosimile riguardante un pagamento, una ricevuta o simili.
– l’utente apre il file infetto che fa attivare una macro malevola
– Emotet si diffonde nei sistemi della vittima
– nella fase istruttoria, Emotet inizia a diffondersi negli altri sistemi collegati
– l’infezione è completa quando si ha verifica la violazione di vari sistemi, tra i quali possiamo elencare i dati d’accesso e le cronologie dei browser, le credenziali d’accesso ai propri sistemi bancari ed il furto dei messaggi di posta elettronica (compresi tutti gli indirizzi).
Le varianti rilevate
Luglio 2018
In riferimento a dei pagamenti PayPal non andati a buon fine o, in alternativa, a delle fatture scadute, venivano inviate mail malevole contenenti documenti (o link che conducono allo scaricamento di file). Questi download attivavano l’infezione, che poi si propagava anche agli altri sistemi. Già questa variante era in grado di ottenere gli accessi a tutti i messaggi presenti nel client Outlook.
Novembre 2018
Questa variante differiva da quella precedente poiché non rubava soltanto gli indirizzi del mittente e del destinatario delle mail inviate e ricevute su Outlook, bensì riusciva anche ad estrapolare tutto il messaggio, oggetto compreso.
Settembre 2019
Dopo quasi un anno si torna a rilevare una prepotente campagna Emotet. Anche in questo caso, viene utilizzata una scusa di tipo finanziario per avvicinare la vittima, come ad esempio una fattura, da indirizzi apparentemente verosimili (uno di quelli segnalati era @odcecfoggiapec.it).
Dicembre 2019
Viene nuovamente rilevata una campagna malevola. In questo caso gli hacker hanno allegato un link malevolo molto pericoloso poiché più credibile di quelli visti in passato. Stavolta, infatti, viene presentato un URL che porterebbe direttamente ad un documento del Ministero di Economia e Finanza e la comunicazione riguarderebbe il mancato funzionamento del sistema che permette la produzione del Bilancio di esercizio.
Come evitare Emotet
Dati tutte le problematiche derivanti da Emotet, è giusto ripetere gli stessi consigli che si danno solitamente in caso di malware.
– Mai aprire mail riguardanti pagamenti che presentano allegati se non si effettua prima un controllo accurato;
– Controllare sempre con attenzione il/i mittente/i;
– Controllare bene oggetto e corpo del messaggio, poiché spesso essi tendono a presentare delle stranezze ortografiche;
– Quando nel corpo del messaggio sono presenti link è consigliabile fermare il cursore del mouse sopra di essi senza fare clic, si aprirà sopra di esso un pop-up che aiuterà a vedere se l’indirizzo è camuffato o meno. Un esempio di questo consiglio si può fare parlando dell’attacco di dicembre 2019 con il link ad un documento del MEF. Passando il mouse sopra al link in questione vedremo il vero URL, che riporta ad un dominio totalmente diverso.