Come riconoscere ed evitare Emotet, uno dei trojan più pericolosi degli ultimi anni.

Dopo essere comparso per la prima volta nel 2014, il malware Emotet torna periodicamente a minacciare i sistemi di aziende e privati. Per darne una definizione, Emotet è un trojan modulare, ciò significa che minaccia più fronti contemporaneamente. Viene diffuso principalmente dopo aver aperto l’allegato presente in una mail malevola.

CERT-PA ha riscontrato spesso vari tipi di campagna Emotet. In linea generale si riceve una mail con un link che porta a scaricare un file .DOC o PDF malevolo che abilita delle macro che poi procederanno all’infezione oppure la mail presenta direttamente il file infetto.

L’iter generico di diffusione e gli effetti di una campagna Emotet si compongono così:

– ricezione di una mail contenente un messaggio verosimile riguardante un pagamento, una ricevuta o simili.

– l’utente apre il file infetto che fa attivare una macro malevola

Emotet si diffonde nei sistemi della vittima

– nella fase istruttoria, Emotet inizia a diffondersi negli altri sistemi collegati

– l’infezione è completa quando si ha verifica la violazione di vari sistemi, tra i quali possiamo elencare i dati d’accesso e le cronologie dei browser, le credenziali d’accesso ai propri sistemi bancari ed il furto dei messaggi di posta elettronica (compresi tutti gli indirizzi).

Le varianti rilevate

Luglio 2018

In riferimento a dei pagamenti PayPal non andati a buon fine o, in alternativa, a delle fatture scadute, venivano inviate mail malevole contenenti documenti (o link che conducono allo scaricamento di file). Questi download attivavano l’infezione, che poi si propagava anche agli altri sistemi. Già questa variante era in grado di ottenere gli accessi a tutti i messaggi presenti nel client Outlook.

Novembre 2018

Questa variante differiva da quella precedente poiché non rubava soltanto gli indirizzi del mittente e del destinatario delle mail inviate e ricevute su Outlook, bensì riusciva anche ad estrapolare tutto il messaggio, oggetto compreso.

Settembre 2019

Dopo quasi un anno si torna a rilevare una prepotente campagna Emotet. Anche in questo caso, viene utilizzata una scusa di tipo finanziario per avvicinare la vittima, come ad esempio una fattura, da indirizzi apparentemente verosimili (uno di quelli segnalati era @odcecfoggiapec.it).

Dicembre 2019

Viene nuovamente rilevata una campagna malevola. In questo caso gli hacker hanno allegato un link malevolo molto pericoloso poiché più credibile di quelli visti in passato. Stavolta, infatti, viene presentato un URL che porterebbe direttamente ad un documento del Ministero di Economia e Finanza e la comunicazione riguarderebbe il mancato funzionamento del sistema che permette la produzione del Bilancio di esercizio.

Come evitare Emotet

Dati tutte le problematiche derivanti da Emotet, è giusto ripetere gli stessi consigli che si danno solitamente in caso di malware.

Mai aprire mail riguardanti pagamenti che presentano allegati se non si effettua prima un controllo accurato;

Controllare sempre con attenzione il/i mittente/i;

– Controllare bene oggetto e corpo del messaggio, poiché spesso essi tendono a presentare delle stranezze ortografiche;

– Quando nel corpo del messaggio sono presenti link è consigliabile fermare il cursore del mouse sopra di essi senza fare clic, si aprirà sopra di esso un pop-up che aiuterà a vedere se l’indirizzo è camuffato o meno. Un esempio di questo consiglio si può fare parlando dell’attacco di dicembre 2019 con il link ad un documento del MEF. Passando il mouse sopra al link in questione vedremo il vero URL, che riporta ad un dominio totalmente diverso.

 

Fonti: 1, 2, 3