Il trojan Emotet è diventato un “fattorino” per i cybercriminali
I ricercatori di Symantec si sono accorti di una rinnovata attività del programma malevolo creato dal gruppo Mealybug. Adesso non punta più al banking opera come “servizio di distribuzione” per altre infezioni.
Pubblicato il 20 luglio 2018 da Redazione
Mealybug, ovvero cocciniglie farinose o cocciniglie cotonose. Si chiamano come insetti ma sono un gruppo hacker in attività da almeno quattro anni e già noto per Emotet, trojian bancario tra i più diffusi del 2017. Si torna oggi a parlare di questa minaccia per via di alcune sue evoluzioni scoperte da Symantec: Emotet “sembra aver recentemente cambiato il proprio business model”, scrive la società di cybersicurezza. Ha smesso, cioè, di colpire prevalentemente i clienti di servizi di online banking, per dedicarsi al vero e proprio cybercrimine e “usare la propria infrastruttura per fungere da servizio globlale di confezionamento e consegna per altri autori di minacce”.
Come trojan rastrellatore di credenziali bancarie, il programma aveva già dimostrato la capacità di autopropagarsi. Dunque perché non metterla al servizio degli altri? Emotet, in sostanza, agisce ora come una sorta di “fattorino” per le infezioni di vari cybercriminali, in particolare di gruppi che mirano al furto di dati su bersagli che nel 90% risiedono negli Stati Uniti.
Il trojan viene recapitato nel modo più classico, cioè attraverso la posta elettronica. Il messaggio di phishing contiene un link che porta a una pagina malevola oppure un documento infetto: cliccando o aprendo il documento, a seconda del caso, il payload viene scaricato sul Pc della vittima.
Una volta installato sul sistema bersaglio, Emotet può scaricare ulteriori payload direttamente dai server di comando e controllo dei criminali informatici, mentre all'interno di una rete può propagarsi da un dispositivo all'altro tramite attacchi di forza bruta (cercando, cioè, di azzeccare le password corrette eseguendo numerosi tentativi) o attraverso un modulo di spam che viene installato sulla macchina da cui parte la catena. Tale modulo crea delle email che vengono confezionate con tecniche di social engineering e che cercano di trarre in inganno recando in oggetto parole come “fattura” e magari il nome del destinatario del messaggio di posta elettronica. Anche in questo caso l'email contiene un allegato o un link che fungono da veicolo per Emotet.
“Evidentemente”, scrive Symantec, “Mealybug ha deciso che in qualità di distributore puà massimizzare i suoi guadagni. Può darsi che stesse avendo difficoltà a guadagnare esclusivamente attraverso i trojan bancari”. Questo vecchio amore, tuttavia, non è stato dimenticato del tutto. Sempre a detta di Symantec, da febbraio a oggi il gruppo si è dato da fare per diffondere Qakbot, un “trojan as a service” anch'esso in grado di diffondersi attraverso una rete tramite attacchi di forza bruta. A differenza di Emotet, Qakbot può anche propagarsi da un dispositivo all'altro sottraendo credenziali e servendosi, a tale scopo, di strumenti open-source scaricati tramite PowerShell.
MALWARE
NEWS
- Videosorveglianza con AI per le Olimpiadi di Parigi del 2024
- Altair unifica analisi dei dati e Ai nella piattaforma RapidMiner
- Trasformazione digitale, in Europa buone attese ma progetti lenti
- Nuove Gpu e alleanze nel cloud per spingere l’AI di Nvidia
- Data center Aruba, l’impegno per la sostenibilità è certificato
