Sintesi
Emotet è considerato il malware attualmente più comune e più distruttivo e costoso da riparare (1). Si diffonde principalmente attraverso e-mail di phishing contenenti un link dannoso o un documento infetto. Una volta che le vittime scaricano il file o cliccano sul link, il malware aggiuntivo viene scaricato automaticamente sul loro dispositivo e si moltiplica all'interno della rete aziendale.
Nonostante la sua massiccia eliminazione nel gennaio 2021 grazie alle forze dell'ordine e alle autorità giudiziarie internazionali (1), Emotet continua a prosperare e a diffondere malware con trucchi sempre più sofisticati. Una delle tattiche utilizza un file di collegamento di Windows (.LNK) contenente comandi PowerShell per scaricare il payload di Emotet sul dispositivo delle vittime che abbiamo analizzato nel nostro ultimo blog. L'autore della minaccia ha effettuato questo adattamento in risposta alla protezione VBA lanciata da Microsoft.
Nell'aprile del 2022 è stata individuata una nuova campagna Emotet che abusa di file .LNK zippati. In questo blog, analizziamo questo vettore e dimostriamo come sia possibile prevenire questi tipi di malware con OPSWAT MetaDefender .
Catena di infezioni Emotet
Gli operatori della rete bot Emotet iniziano l'attacco con un'e-mail di spam contenente un file zip dannoso protetto da password con un file di collegamento di collegamento incorporato (.LNK). Abusano del file di collegamento perché è difficile da distinguere. Il file è camuffato come un file di documento con un'icona e l'estensione non viene visualizzata per impostazione predefinita in Windows.
Subito dopo l'estrazione del file zip e l'esecuzione del file .LNK, le vittime rilasciano un VBScript (Visual Basic Script) Microsoft dannoso nella cartella temporanea del loro dispositivo.
Il VBScript abbandonato esegue e scarica il payload di Emotet da un server remoto. Una volta scaricato il file binario, lo salva nella directory temporanea di Windows e lo esegue utilizzando regsvr32.exe. Una volta infettato, Emotet si duplica per diffondersi ad altri computer della rete.
Come prevenire Emotet e attacchi avanzati simili
Esistono numerose raccomandazioni e indicazioni da parte di agenzie governative ed esperti di sicurezza informatica in tutto il mondo per aiutare gli utenti a riconoscere e difendersi da campagne Emotet sofisticate (2), come ad esempio:
- Non aprite gli allegati di e-mail dubbie e non cliccate su link sospetti nel corpo dell'e-mail.
- Assicuratevi che i vostri dipendenti siano sufficientemente addestrati per identificare link e allegati di e-mail sospette.
- Mantenete aggiornati il sistema operativo, le applicazioni e il software di sicurezza.
It is easy for you to comprehensively protect your organization from Emotet as well as other advanced evasive threats with OPSWAT Email Gateway Security and OPSWAT MetaDefender Core. Our market-leading Deep CDR™ Technology (Content Disarm and Reconstruction) disables both known and unknown threats concealed inside files. Per our zero-trust philosophy, we assume all files entering your network are malicious, so we scan, sanitize, and rebuild every file before it reaches your users. All active content concealed in files is neutralized or removed ensuring a threat-free environment for your organization.
L'attuale minaccia di Emotet viene prevenuta come segue:
1.OPSWAT Email Gateway Security mette in quarantena gli allegati protetti da password.
2. Per scaricare l'allegato, i destinatari devono fornire la password del file al sistema in quarantena.
3.MetaDefender Core analizza il file alla ricerca di malware noti con la nostra soluzione di multiscansione chiamata Metascan. Come mostrato di seguito, 11/16 motori hanno rilevato con successo la minaccia.
4. MetaDefender Core extracts the attachment and recursively sanitizes every nested file using the Deep CDR™ Technology engine. The result below shows that an object was found and removed.
During the sanitization process, Deep CDR™ Technology replaced the malicious command of the .LNK file with dummy.txt to neutralize the threat.
5.Email Gateway Security rilascia agli utenti l'e-mail con un allegato privo di minacce. Ecco il risultato della scansione del file dopo la sanificazione. Non è stata rilevata alcuna minaccia.
6. Gli utenti possono ora decomprimere l'allegato sul proprio computer e generare il file LNK senza preoccuparsi di alcun problema di sicurezza. Anche se gli utenti aprono il file LNK, non verrà scaricato alcun malware perché il comando dannoso del file LNK viene sostituito.
Learn more about Deep CDR™ Technology or get in touch with us to discover the best security solutions to protect your corporate network and users from dangerous and complex cyberattacks.
Riferimento
(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].
