Malware Emotet risorge ancora: evade la sicurezza delle macro tramite gli allegati di OneNote
Il famigerato malware Emotet, tornato dopo una breve pausa, viene ora distribuito tramite allegati e-mail di Microsoft OneNote nel tentativo di aggirare le restrizioni di sicurezza basate su macro e compromettere i sistemi.
Emotet, collegato a un autore di minacce rintracciato come Gold Crestwood, Mummy Spider o TA542, continua a essere una minaccia potente e resistente nonostante i tentativi delle forze dell’ordine di abbatterlo.
L’evoluzione del Malware Emotet
Derivato dal worm Cridex, successivamente sostituito da Dridex, nello stesso periodo in cui GameOver Zeus si è interrotto nel 2014. Emotet si è evoluto in una “piattaforma monetizzata per altri attori delle minacce per eseguire campagne dannose su un modello pay-per-install (PPI), consentendo il furto di dati sensibili e l’estorsione di riscatti”.
Mentre le infezioni di Emotet hanno agito da tramite per distribuire Cobalt Strike, IcedID, Qakbot, Quantum ransomware e TrickBot, il suo ritorno alla fine del 2021 è stato facilitato da TrickBot.
“Emotet è noto per i lunghi periodi di inattività, che spesso si verificano più volte all’anno, in cui la botnet mantiene uno stato stazionario, ma non distribuisce spam o malware”, osserva Secureworks nel suo profilo.
Il malware dropper e OneNote
Il malware dropper viene comunemente distribuito attraverso e-mail di spam contenenti allegati dannosi. Con l’adozione da parte di Microsoft di misure per bloccare le macro nei file Office scaricati, gli allegati di OneNote sono emersi come un’interessante via alternativa.
“Il file OneNote è semplice, ma efficace per l’ingegneria sociale degli utenti con una falsa notifica che afferma che il documento è protetto”, ha rivelato Malwarebytes in un nuovo avviso. “Quando chiede di fare doppio clic sul pulsante Visualizza, le vittime fanno inavvertitamente doppio clic su un file di script incorporato”.
Le trappole di Emotet
Il Windows Script File (WSF) è progettato per recuperare ed eseguire il payload binario Emotet da un server remoto. Constatazioni simili sono state fatte da Cyble, IBM X-Force e Palo Alto Networks Unit 42.
Detto questo, Emotet continua a utilizzare documenti con trappole esplosive contenenti macro per distribuire il payload dannoso. utilizzando esche di social engineering per invogliare gli utenti ad attivare le macro per attivare la catena di attacco.
Tali documenti sfruttano una tecnica chiamata decompression bomb per nascondere un file molto grande (oltre 550 MB) all’interno di allegati di archivi ZIP per non essere notati. Secondo quanto riportato da Cyble, Deep Instinct, Hornetsecurity e Trend Micro.
Questo risultato si ottiene aggiungendo un byte 00 alla fine del documento per gonfiare artificialmente le dimensioni del file in modo da superare i limiti imposti dalle soluzioni anti-malware.
Gli ultimi sviluppi di Emotet
L’ultimo sviluppo è un segno della flessibilità e dell’agilità degli operatori nel cambiare i tipi di allegati da inviare inizialmente per eludere le firme di rilevamento. Si inserisce inoltre nel contesto di un’impennata di minacce che utilizzano i documenti OneNote per distribuire un’ampia gamma di malware come AsyncRAT, Icedid, RedLine Stealer, Qakbot e XWorm.
Secondo Trellix, la maggior parte dei rilevamenti di OneNote dannosi nel 2023 è stata segnalata negli Stati Uniti, Corea del Sud, Germania, Arabia Saudita, Polonia, India, Regno Unito, Italia, Giappone e Croazia, nei seguenti settori: manifatturiero, high-tech, telecomunicazioni, finanza ed energia che emergono come i principali settori presi di mira.
