Dopo che la sua infrastruttura è stata rimossa dalle forze dell’ordine e dalle agenzie giudiziarie, Emotet è riapparso con un nuovo metodo di infezione attraverso un file Excel tramite e-mail che contiene una macro Excel 4.0 offuscata.

Emotet usa solitamente il thread hijacking come parte del suo metodo di attacco, tecnica che genera false risposte basate su e-mail legittime rubate da client di posta di host Windows precedentemente infettati da Emotet. La botnet utilizza questi dati e-mail rubati per creare risposte false che impersonano i mittenti originali.

Adesso, Unit 42 di Palo Alto ha osservato che Emotet è tornata alle e-mail basate su allegati. In alcuni casi, utilizza un archivio zip protetto da password come allegato alla sua e-mail. In altri casi, Emotet utilizza un foglio di calcolo Excel direttamente allegato all’e-mail.

La password del file zip è inclusa nell’e-mail, in modo che la vittima possa estrarre il contenuto. Il file zip crittografato contiene un unico documento Excel con macro di Excel 4.0. Queste macro sono una vecchia funzionalità di Excel che viene spesso abusata da attori criminali. La vittima deve abilitare le macro su un host Windows vulnerabile prima che il contenuto dannoso venga attivato.

Quando la macro viene attivata, scarica ed esegue un’applicazione HTML che scarica due fasi di PowerShell per recuperare ed eseguire il payload Emotet finale.

“Emotet è una famiglia di malware altamente attiva che cambia frequentemente le proprie tecniche di infezione. Queste modifiche sono probabilmente un tentativo di evitare il rilevamento. La nuova catena di attacco di Emotet rivela più fasi con diversi tipi di file e script offuscati prima di arrivare al payload finale di Emotet”, concludono gli esperti di Unit 42.

 

https://unit42.paloaltonetworks.com/new-emotet-infection-method/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE