Sintesi
Emotet è considerato il malware attualmente più comune e più distruttivo e costoso da riparare (1). Si diffonde principalmente attraverso e-mail di phishing contenenti un link dannoso o un documento infetto. Una volta che le vittime scaricano il file o cliccano sul link, il malware aggiuntivo viene scaricato automaticamente sul loro dispositivo e si moltiplica all'interno della rete aziendale.
Nonostante la sua massiccia eliminazione nel gennaio 2021 grazie alle forze dell'ordine e alle autorità giudiziarie internazionali (1), Emotet continua a prosperare e a diffondere malware con trucchi sempre più sofisticati. Una delle tattiche utilizza un file di collegamento di Windows (.LNK) contenente comandi PowerShell per scaricare il payload di Emotet sul dispositivo delle vittime che abbiamo analizzato nel nostro ultimo blog. L'autore della minaccia ha effettuato questo adattamento in risposta alla protezione VBA lanciata da Microsoft.
Nell'aprile del 2022 è stata individuata una nuova campagna Emotet che abusa di file .LNK zippati. In questo blog, analizziamo questo vettore e dimostriamo come sia possibile prevenire questi tipi di malware con OPSWAT MetaDefender .
Catena di infezioni Emotet
Gli operatori della rete bot Emotet iniziano l'attacco con un'e-mail di spam contenente un file zip dannoso protetto da password con un file di collegamento di collegamento incorporato (.LNK). Abusano del file di collegamento perché è difficile da distinguere. Il file è camuffato come un file di documento con un'icona e l'estensione non viene visualizzata per impostazione predefinita in Windows.
Subito dopo l'estrazione del file zip e l'esecuzione del file .LNK, le vittime rilasciano un VBScript (Visual Basic Script) Microsoft dannoso nella cartella temporanea del loro dispositivo.
Il VBScript abbandonato esegue e scarica il payload di Emotet da un server remoto. Una volta scaricato il file binario, lo salva nella directory temporanea di Windows e lo esegue utilizzando regsvr32.exe. Una volta infettato, Emotet si duplica per diffondersi ad altri computer della rete.
Come prevenire Emotet e attacchi avanzati simili
Esistono numerose raccomandazioni e indicazioni da parte di agenzie governative ed esperti di sicurezza informatica in tutto il mondo per aiutare gli utenti a riconoscere e difendersi da campagne Emotet sofisticate (2), come ad esempio:
- Non aprite gli allegati di e-mail dubbie e non cliccate su link sospetti nel corpo dell'e-mail.
- Assicuratevi che i vostri dipendenti siano sufficientemente addestrati per identificare link e allegati di e-mail sospette.
- Mantenete aggiornati il sistema operativo, le applicazioni e il software di sicurezza.
Proteggere in modo completo la tua organizzazione da Emotet e da altre minacce sofisticate e elusive è facile con OPSWAT Email Gateway Security e OPSWAT MetaDefender Core. La nostra tecnologia Deep CDR™ (Content Disarm and Reconstruction), leader di mercato, disattiva sia le minacce note che quelle sconosciute nascoste all'interno dei file. In linea con la nostra filosofia zero-trust, partiamo dal presupposto che tutti i file che entrano nella vostra rete siano dannosi, quindi esaminiamo, ripuliamo e ricostruiamo ogni file prima che raggiunga i vostri utenti. Tutti i contenuti attivi nascosti nei file vengono neutralizzati o rimossi, garantendo un ambiente privo di minacce per la vostra organizzazione.
L'attuale minaccia di Emotet viene prevenuta come segue:
1.OPSWAT Email Gateway Security mette in quarantena gli allegati protetti da password.
2. Per scaricare l'allegato, i destinatari devono fornire la password del file al sistema in quarantena.
3.MetaDefender Core analizza il file alla ricerca di malware noti con la nostra soluzione di multiscansione chiamata Metascan. Come mostrato di seguito, 11/16 motori hanno rilevato con successo la minaccia.
4. MetaDefender Core l'allegato e pulisce in modo ricorsivo ogni file annidato utilizzando il motore della tecnologia Deep CDR™. Il risultato riportato di seguito mostra che è stato individuato e rimosso un oggetto.
Durante il processo di sanificazione, la tecnologia Deep CDR™ ha sostituito il comando dannoso contenuto nel file .LNK con il file dummy.txt per neutralizzare la minaccia.
5.Email Gateway Security rilascia agli utenti l'e-mail con un allegato privo di minacce. Ecco il risultato della scansione del file dopo la sanificazione. Non è stata rilevata alcuna minaccia.
6. Gli utenti possono ora decomprimere l'allegato sul proprio computer e generare il file LNK senza preoccuparsi di alcun problema di sicurezza. Anche se gli utenti aprono il file LNK, non verrà scaricato alcun malware perché il comando dannoso del file LNK viene sostituito.
Scopri di più sulla tecnologia Deep CDR™ oppure contattaci per trovare le migliori soluzioni di sicurezza per proteggere la tua rete aziendale e i tuoi utenti da attacchi informatici pericolosi e complessi.
Riferimento
(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].
