Emotet, il virus che ruba pezzi di email per essere più credibile
Di recente molti utenti sono venuti a conoscenza di email inviate a loro nome, sia verso ignari destinatari che verso contatti conosciuti, contenenti un allegato con dentro documenti di Office infetti da virus. Si tratta del ritorno di Emotet, un malware molto sofisticato e diffuso che funge da vettore per altri tipi di attacco.
Di recente ad Emotet è stata aggiunta una funzionalità per rendere le sue email ancora più credibili e quindi pericolose.
In pratica Emotet ruba pezzi di email da conversazioni reali, ci allega un file infetto e risponde al mittente del messaggio.
La vittima vede arrivare una email di risposta ad un suo precedente messaggio, con un oggetto “conosciuto” (Emotet aggiunge anche il Re:), dove anche il contenuto è effettivamente quello del messaggio originale. La risposta di solito contiene un testo molto breve e generico che invita ad aprire l’allegato presente nel messaggio, senza dare altre spiegazioni.
L’allegato è di solito un documento di Office, un Word o un Excel, che una volta aperto reclama in vari modi la necessità di abilitare le macro per mostrare il suo contenuto.
A questo punto se l’utente abilita le macro Emotet inizia il suo corso collegandosi degli indirizzi (URL) per scaricare il codice (payload) che infetterà il PC della vittima.
Emotet mette a rischio l’intera azienda
Ma questa è solo la prima parte dell’infezione, come abbiamo detto infatti Emotet funge principalmente da primo stadio per installare ben più pericolosi malware tipo:
- un trojan bancario (es. TrickBot o QakBot) che punta a rubare denaro cambiando i codici IBAN del bonifici
- un ransomware che punta a cifrare i dati per poi chiedere un riscatto
- un infostealer che punta a rubare i dati mediante screenshot, keylogger, o le password memorizzate nei vari programmi
Nel mentre Emotet continuerà il suo corso rubando i messaggi email anche di questa ultima vittima, inviando, nuovamente, a tutti i contatti presenti nella sua rubrica un messaggio infetto di risposta, utilizzando come mittente un indirizzo email falso, con la tecnica dell’Email Spoofing. Tutte queste informazioni vengono poi caricate sulla botnet di Emotet e preparate per i successivi invii alle vittime.
L’invio di queste email avviene tramite server SMTP utilizzando nomi utenti e password a loro volta rubati in precedenti attacchi.
Gli attacchi partono ad ondate
Durante ogni campagna gli attaccanti infettano i PC e recuperano dati e credenziali per i nuovi attacchi, mentre quello in corso va terminando. Quando avranno accumulato un numero sufficiente di nuovi indirizzi email di vittime, credenziali per l’invio, e testi di email rubate lanciano il nuovo attacco. Fra un ondata di invio ed una successiva possono passare anche dei mesi, necessari anche agli attaccanti ad aggiornare il codice di Emotet per non essere riconosciuto dagli antivirus o a rimettere in piedi eventuali pezzi di botnet smantellati.
E’ possibile comprendere che Emotet è un malware molto sofisticato e molto complesso da gestire, si capisce quindi che gli organizzatori di questi attacchi sono tecnicamente molto preparati, per questo Emotet è così difficile da bloccare.
Virus dentro file ZIP protetto da password
Per rendere ancora più difficile l’analisi di questi messaggi email da parte dei provider di posta elettronica alcune versioni di Emotet proteggono con una password il file ZIP allegato che contiene il documento Office con la macro malevola.
Emotet e Data Breach
Una delle conseguenze che si hanno quando i PC aziendali vengono infettati dalle recenti versioni di Emotet è che vengono rubate le conversazioni email, compresi gli allegati (, ed inviate nella botnet di Emotet. Questo di fatto è un “data breach” che espone l’azienda ad ulteriori possibili rischi, anche giuridici ed economici, per via della diffusione e perdita di controllo di questi dati.
Come proteggersi da Emotet
Per proteggersi da Emotet è importante avere una protezione di sicurezza informatica a più livelli, a partire da una soluzione di Email Security per le email aziendali, un sistema di Endpoint Protection per i PC ed i server, Firewall di nuova generazione a protezione della rete aziendale ma soprattutto una formazione dedicata ai propri collaboratori in modo che conoscano come queste minacce si presentano e come affrontarle.
Qboxmail offre un servizio di sicurezza per le email aziendali che aiuta le aziende a proteggersi dagli attacchi come quegli di Emotet, anche grazie ad un servizio che avvisa l’azienda nel caso siano rilevati tentativi di accesso abusivi, a seguito del furto di password, alle proprie caselle email.
Se volete maggiori informazioni o supporto tecnico per mettere al sicuro le vostre email e la vostra azienda da possibili rischi potete contattare Qboxmail, saremo a vostra disposizione per darvi tutto il supporto necessario.