Mealybug, ovvero cocciniglie farinose o cocciniglie cotonose. Si chiamano come insetti ma sono un gruppo hacker in attività da almeno quattro anni e già noto per Emotet, trojian bancario tra i più diffusi del 2017. Si torna oggi a parlare di questa minaccia per via di alcune sue evoluzioni scoperte da Symantec: Emotet “sembra aver recentemente cambiato il proprio business model”, scrive la società di cybersicurezza. Ha smesso, cioè, di colpire prevalentemente i clienti di servizi di online banking, per dedicarsi al vero e proprio cybercrimine e “usare la propria infrastruttura per fungere da servizio globlale di confezionamento e consegna per altri autori di minacce”.
Come trojan rastrellatore di credenziali bancarie, il programma aveva già dimostrato la capacità di autopropagarsi. Dunque perché non metterla al servizio degli altri? Emotet, in sostanza, agisce ora come una sorta di “fattorino” per le infezioni di vari cybercriminali, in particolare di gruppi che mirano al furto di dati su bersagli che nel 90% risiedono negli Stati Uniti.
Il trojan viene recapitato nel modo più classico, cioè attraverso la posta elettronica. Il messaggio di phishing contiene un link che porta a una pagina malevola oppure un documento infetto: cliccando o aprendo il documento, a seconda del caso, il payload viene scaricato sul Pc della vittima.
Una volta installato sul sistema bersaglio, Emotet può scaricare ulteriori payload direttamente dai server di comando e controllo dei criminali informatici, mentre all'interno di una rete può propagarsi da un dispositivo all'altro tramite attacchi di forza bruta (cercando, cioè, di azzeccare le password corrette eseguendo numerosi tentativi) o attraverso un modulo di spam che viene installato sulla macchina da cui parte la catena. Tale modulo crea delle email che vengono confezionate con tecniche di social engineering e che cercano di trarre in inganno recando in oggetto parole come “fattura” e magari il nome del destinatario del messaggio di posta elettronica. Anche in questo caso l'email contiene un allegato o un link che fungono da veicolo per Emotet.
“Evidentemente”, scrive Symantec, “Mealybug ha deciso che in qualità di distributore puà massimizzare i suoi guadagni. Può darsi che stesse avendo difficoltà a guadagnare esclusivamente attraverso i trojan bancari”. Questo vecchio amore, tuttavia, non è stato dimenticato del tutto. Sempre a detta di Symantec, da febbraio a oggi il gruppo si è dato da fare per diffondere Qakbot, un “trojan as a service” anch'esso in grado di diffondersi attraverso una rete tramite attacchi di forza bruta. A differenza di Emotet, Qakbot può anche propagarsi da un dispositivo all'altro sottraendo credenziali e servendosi, a tale scopo, di strumenti open-source scaricati tramite PowerShell.