Il trojan Emotet negli ultimi mesi è tornato alla ribalta anche in Italia rappresentando uno dei maggiori grattacapi per i dipartimenti IT aziendali.
Nato nel 2014, questo malware è stato aggiornato con regolarità dai suoi sviluppatori per renderlo sempre più sofisticato e mantenerne l’efficacia criminale nel corso degli anni.
Emotet ruba le credenziali e si impossessa della rubrica della vittima inviando poi a tutti i suoi contatti mail fatte partire da un indirizzo a caso preso proprio da tale lista. Può quindi capitare che dall’account email di una persona partano mail che in realtà il titolare della casella non ha mai inviato.
La minaccia, di regola, viene recapitata alla vittima con una mail frutto di tecniche di social engineering e una volta che l’utente cade nella trappola aprendo i documenti trasmessi per posta elettronica parte l’esecuzione del codice dannoso di Emotet che porta all’installazione di un trojan. A questo punto l’obiettivo di Emotet è quello di utilizzare gli account delle vittime per inviare ulteriori messaggi, spesso da fonti considerate come fidate e affidabili.
L’invio di queste email avviene tramite server SMTP utilizzando nomi utenti e password a loro volta rubati in precedenti attacchi.
Emotet ruba pezzi di mail da conversazioni reali, ci allega un file infetto e risponde al mittente del messaggio. La vittima vede quindi arrivare una mail di risposta ad un suo precedente messaggio con un oggetto conosciuto (Emotet aggiunge anche il Re:) dove anche il contenuto è effettivamente uguale a quello del messaggio originale. La risposta contiene un testo breve e generico che invita ad aprire l’allegato che di solito è un documento di Office che una volta aperto reclama la necessità di abilitare le macro per mostrare il suo contenuto. E’ così che, se l’utente abilita le macro, Emotet inizia il suo corso collegandosi agli indirizzi (URL) per scaricare il codice (payload) che infetterà il PC della vittima. Emotet mette a rischio l’intera azienda perché è il primo step di un percorso che porta all’installazione di malware più pericolosi come trojan bancari, ransomware e così via. E continua poi la sua strada rubando i messaggi email dell’ultima vittima per inviare, ancora una volta, messaggi infetti ai contatti presenti nella sua rubrica.
Emotet rientra nella categoria dell’email spoofing, una tecnica usata nelle mail di spam o per veicolare attacchi facendo creare alla vittima di ricevere email da una persona di fiducia. Un fenomeno che è possibile perché questa tecnica è utilizzata per inviare messaggi email con un indirizzo mittente diverso da quello reale.
Per scoprire come mai si può falsificare il mittente di un messaggio email in estrema semplicità e per capire come difendere la rete aziendale da questi fenomeni, coinvolgendo i dipendenti in prima linea, Qboxmail, mail server in Cloud per gestire le mail aziendali, organizza per giovedì 28 gennaio, alle ore 11.00, un webinar gratuito della durata di 30 minuti. Protagonisti saranno Alessio Cecchi, CEO di Qboxmail, e Giulia Rispoli, Marketing e Amministrazione della società (per iscriverti clicca qui).
