I ricercatori di Trustwave SpiderLabs hanno rilevato una nuova attività della botnet Emotet: sfruttando finti file PDF ed Excel, sta diffondendo pericolosi malware nascosti in archivi compressi autoestraenti e protetti da password.
Secondo i ricercatori, l’impianto botnet Emotet sarebbe collegato a una nuova ondata di campagne phishing che sfruttano i file di archivio protetti da password per distribuire i malware CoinMiner e Quasar RAT sui sistemi compromessi, senza la necessità di alcun inserimento di codici da parte dell’utente per estrarre ed eseguire il contenuto archiviato, ostacolo che secondo la società di sicurezza sarebbe stato aggirato utilizzando un file batch deputato a fornire automaticamente la password per il rilascio del carico utile.
Secondo lo schema ricostruito, il tutto avrebbe inizio con una e-mail di phishing con la quale si propone di leggere un archivio SFX camuffato da file PDF o Excel a tema fattura, per farlo sembrare legittimo, contenente tre elementi: un altro archivio autoestraente (SFX) protetto, un file batch e come esca un file PDF o immagine PNG.
Lo script batch avrebbe il compito di specificare la password dell’archivio protetto e il percorso di destinazione (%AppData%) in cui dovrà essere estratto il payload eseguibile (tutti i campioni sarebbero compilati in .NET e offuscati con ConfuserEX un progetto open source per proteggere le applicazioni .NET), oltre che lanciare un comando per visualizzare i documenti esca nel tentativo di distogliere l’attenzione.
La catena termina, a seconda del payload contenuto in archivio, con l’esecuzione di CoinMiner (un malware modulare con server C2 che oltre a estrarre criptovaluta utilizzando le risorse del sistema infetto può anche fungere da infostealer capace di carpire credenziali nei browser Web e nei profili di Microsoft Outlook) e Quasar RAT (un trojan di accesso remoto open source e disponibile pubblicamente su GitHub, ampiamente utilizzato dai threat actors).
