Il ricercatore di sicurezza JAMESWT, in un tweet di poche ore fa, ha annunciato di aver nuovamente intercettato il pericolosissimo trojan bancario russo Emotet, un malware che già nei mesi scorsi ha attaccato parecchi conti correnti. La campagna è in atto in Italia, da alcuni giorni, ed è molto pericolosa.
Il meccanismo di infezione è simile agli attacchi già visti: si parte da una email di phishing proveniente da un indirizzo email reale ma compromesso, che contiene un allegato, che contiene uno script che scarica il virus dalla rete botnet di computer zombie Epoch 2. Attacchi simili, con lastessa tecnica, sono in corso anche in altri Paesi del mondo oltre all’Italia e questo è un segno che i cybercriminali che gestiscono queste campagne sono più attivi che mai negli ultimi mesi, dopo una breve pausa registrata durante l’estate.
Emotet: come funziona
JAMESWT ha mostrato alcuni screenshot dei messaggi email dai quali parte l’infezione. Provengono da indirizzi apparentemente reali e legittimi, ma partono da computer infetti e contengono un allegato in formato Zip protetto con password (e la password è inclusa nel corpo del messaggio).
Il testo del messaggio, in buon italiano e senza errori grammaticali, sfrutta la tensione generata dal difficile momento che gli italiani stanno vivendo a causa della pandemia da Covid-19. Il messaggio mostrato dal ricercatore, infatti, recita: “Buon pomeriggio, sono andata al laboratorio Giovanni Paolo I per informarmi del tampone: bisogna essere presenti al mattino presto 6.30, perché aprono alle 7 e la fila è lunga non ho potuto fare di più mi dispiace. Allego l’impegno di spesa. In attesa di risentirci la saluto“.
Il messaggio, come è chiaro a tutti, è ben studiato, si basa sulle tecniche dell’ingegneria sociale e potrebbe risultare credibile a molte delle persone che lo ricevono, le quali potrebbero cascarci e aprire il file zip. Dentro tale file c’è un documento Microsoft Word, con del testo in inglese (questa parte dell’attacco non è stata localizzata per l’Italia, a quanto pare), che invita l’utente ad aggiornare Word.
In realtà all’apertura del file Word parte uno script che non fa altro che scaricare il virus vero e proprio da una lista di server localizzati in diversi Paesi del mondo.
Emotet: perché è pericoloso
Emotet, anche noto con i nomi di Geodo o Mealybug, sin dalla sua nascita nel 2014 ha puntato a rubare milioni di credenziali bancarie ad altrettanti ignari utenti che, in seguito all’infezione, hanno visto il loro denaro uscire dal conto corrente senza apparente spiegazione.
Questo malware, infatti, è in grado di rubare le credenziali bancarie dei conti correnti online spiando l’utente mentre le inserisce e cercando informazioni in merito nei file del computer. Una seconda pericolosa caratteristica delle versioni più recenti di Emotet è quella di trasformare il computer infetto in una macchina zombie, inserita all’interno di una delle tre botnet a disposizione del virus: Epoch 1, Epoch 2 ed Epoch 3. Da queste reti di computer infetti partono altre email di phishing e il virus continua a propagarsi.
Emotet: come difendersi
Il riacuirsi degli attacchi Emotet è ormai una costante con l’autunno e, in particolare, con l’avvicinarsi del periodo natalizio: era successo anche nel 2017, nel 2018, nel 2019 e non poteva mancare anche quest’anno. Recentemente Emotet era tornato a colpire l’Italia a fine agosto e, un mese dopo a fine settembre, persino il Computer Security Incident Response Team del Governo Italiano ha lanciato un allarme specifico su questo virus.
Poiché le modalità dell’attacco sono sempre molto simili, è bene prestare attenzione a poche ma fondamentali cose. La prima è quella di evitare sempre di scaricare allegati da indirizzi che non conosciamo o che, anche se appartengono a persone note, non avrebbero motivo di inviarci quel file.
La seconda è quello di non cliccare su alcun link, né all’interno delle email né all’interno dei file che abbiamo eventualmente scaricato. La terza, ma sarebbe meglio metterla per prima, è che dobbiamo sempre usare un antivirus di buona qualità, costantemente aggiornato con le ultime definizioni mensili dei malware conosciuti.
About Author
