Cybersicurezza, malware Emotet in Italia punta alla Pec


articolo Redazione ANSA: https://www.ansa.it/sito/notizie/tecnologia/software_app/2022/07/06/cybersicurezza-malware-emotet-in-italia-punta-alla-pec_b7e76399-bfa1-47f0-95e3-5e02bcfcc4f5.html

Cert AgiD, oggetto mail ‘Comunicazioni intercorse’

Il malware Emotet, che nasce originariamente come virus bancario ed è responsabile di diverse campagne di furti dati, in Italia ora punta alla Pec, la posta certificata.

A lanciare l’allarme Cert AgiD, la struttura del governo che coadiuva l’Agenzia italiana di cybersicurezza, che ha pubblicato una schermata su Twitter sul funzionamento di questa minaccia.

Cert AgiD l’Agenzia italiana di cybersicurezza: https://cert-agid.gov.it/

L’allerta arriva dopo segnalazioni ricevute riguardanti messaggi destinati ad indirizzi di Pec ma provenienti da indirizzi ordinari.

Oggetto delle mail è ‘Comunicazioni già intercorse‘ contiene un allegato protetto da password (fornita dalla mail), se si scarica, si avvia l’infezione del malware. “Al momento – spiega Cert AgiD – non si hanno evidenze di campagne Emotet distribuite da Pec verso Pec“.

Emotet è apparso per la prima volta nel 2014, originariamente era un trojan bancario ma nel tempo sono stati aggiunti moduli che gli consentono di rubare le password memorizzate nel software delle vittime, infettare altri computer collegati e riutilizzare le email per successive campagne di spam. Prende di mira privati, aziende, organizzazioni e istituzioni.

Cosa è Emotet? articolo da: Emotet – Wikipedia

Emotet è un ceppo di malware e un’operazione di criminalità informatica che si ritiene abbia sede in Ucraina . Il malware, noto anche come Heodo , è stato rilevato per la prima volta nel 2014 e considerato una delle minacce più diffuse del decennio. Nel 2021 i server utilizzati per Emotet sono stati interrotti a causa di un’azione di polizia globale in Germania e Ucraina e posti sotto il controllo delle forze dell’ordine. 

Le prime versioni del malware Emotet funzionavano come un trojan bancario volto a rubare le credenziali bancarie dagli host infetti. Per tutto il 2016 e il 2017, gli operatori di Emotet, a volte noti come Mealybug , hanno aggiornato il trojan e lo hanno riconfigurato per funzionare principalmente come “loader”, un tipo di malware che accede a un sistema e quindi consente ai suoi operatori di scaricare payload aggiuntivi.  I payload di seconda fase possono essere qualsiasi tipo di codice eseguibile, dai moduli di Emotet al malware sviluppato da altri gruppi di criminali informatici.

L’infezione iniziale dei sistemi di destinazione spesso attraverso procede unvirus macronell un allegato di posta elettronica. L’e-mail infetta è una risposta legittima a un messaggio precedente inviato dalla vittima.

È stato ampiamente documentato che gli autori di Emotet hanno utilizzato il malware per creare unabotnetdi computer infetti a cui vendono l’accesso in un modello Infrastructure-as-a-Service (IaaS), indicatore nella comunità della sicurezza informatica come MaaS (Malware-as-a-Service), Cybercrime-as-a-Service (CaaS) o Crimeware. Emotet è noto per aver affittato l’accesso a computer infetti e operazioni ransomware, vieni la banda Ryuk.

A partire da settembre 2019, l’operazione Emotet si è svolta su trebotnet chiamate separate Epoca 1, Epoca 2 ed Epoca 3.

Nel luglio 2020, le campagne Emotet sono state rilevate a livello globale, infettando le sue vittime con TrickBote Qbot, che vengono utilizzati per rubare le banche e diffondersi all’interno delle reti. Alcune delle campagne di malspam contengonono documenti dannosi con nomi come “form.doc” o “invoice.doc“. Secondo i ricercatori di sicurezza, il documento dannoso lancia uno script PowerShell per estrarre il payload Emotet da siti Web dannosi e macchine infette.

Nel novembre 2020, Emotet ha utilizzatodomini parcheggiatiper carico utile in arrivo.

Nel gennaio 2021, l’azione internazionale coordinata da Europoled Eurojust ha consentito agli investigatori di assumere il controllo dell’infrastruttura Emotet e di perturbarla. L’azione segnalata è stata accompagnata da arresti effettuata in Ucraina.

Il 14 novembre 2021 sono emersi campioni di Emotet molto simili al codice nuovissimo bot, ma con uno schema di dispositivo diverso che utilizzava la connessione a curva ellittica per le comunicazioni di comando e controllo. Le nuove infezioni da Emotet sono state consegnate tramite TrickBot, un computer precedentemente infettati da TrickBot, e presto hanno iniziato a inviare messaggi e-mail di spam dannosi con file Microsoft Word ed Excel carichi di macro come payload

Pubblicato da alessandro54

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Gravatar
Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Annulla

Connessione a %s...