I cybercriminali tornano a colpire con il malware Emotet. Si tratta un software che punta a sottrarre agli ignari utenti dati sensibili e informazioni riguardanti le carte di credito e più in generale le carte utilizzate per i pagamenti online.
Alla base del malware Emotet c’è un sistema di tipo “botnet”, ovvero una rete di computer utilizzati all’insaputa dei loro proprietari. Nel loro ruolo di macchine “zombie” collaborano alla diffusione della minaccia, incrementando il rischio di entrare in contatto col software ingannevole.
Stavolta parliamo di Emotet, una rete “botnet“, formata cioè da inconsapevoli computer zombie che collaborano senza saperlo a diffondere malware molto pericolosi. La nuova insidia che la svela gli esperti di Proofpoint Threat Insights. A quanto pre il nuovo modulo lanciato dalla rete Emotet è in grado di scalfire la sicurezza dei browser, in particolare Chrome, e accedere ai dati sensibili salvati in essa, in modo da arrivare alle carte di credito registrati nel browser dagli utenti ignari del pericolo.
Quando effettuiamo un acquisto su Chrome o altri browser che utilizzano sempre il codice open source di Chromium, registriamo i dati della nostra carta di credito. A quel punto il browser in questione salva quei dati, infatti all’acquisto successivo non ci è necessario eseguire nuovamente l’invio di tali informazioni. Ecco che a questo punto scatta il lavoro furtivo di Emotet che cerca di accedere a quei dati per rubare le informazioni relative alla nostra carta di credito. Benché Chrome salvi in dati in modo criptomatico, il virus è in gradi di decifrarli e recuperare cosi numero della carta, nome e cognome del titolare, data di scadenza.
Questa nuova minaccia per Chrome altri non è che una nuova variante del trojan bancario Emotet, attivo in Italia da più di un anno, ma che negli ultimi tempi si sarebbe evoluto trovando “ospitalità” in molti applicativi legati al browser di Google. Di conseguenza, questa variante del noto banking trojan è diventato molto più insidioso: una volta penetrato in un sistema, infatti, il malware è in grado di raccogliere informazioni e rubare le password dei conti correnti, digitali (PayPal) e delle carte di credito memorizzate nei profili degli utenti del browser Chrome.
Inoltre può accedere ai contenuti delle applicazioni come farebbe un normale utente, compresi i social network, i servizi di messaggeria istantanea e la posta elettronica.
Una volta riuscito nel suo compito, i dati vengono esfiltrati su server C2 differenti da quelli del loader. In questo modo i criminali possono agire in modo del tutto indisturbato, rubarne le credenziali bancarie ed effettuare frodi online, svuotando al contempo i conti correnti dei malcapitati. “Oltre ai dati inseriti dinamicamente durante l’accesso ad applicazioni Web specifiche”, ha spiegato il dott. Zeev Ben Porat, ricercatore scientifico presso CyberArkun, “i malintenzionati possono far caricare al browser in memoria tutte le password archiviate nel gestore delle password”.
Poiché molti utenti, per comodità, salvano i dati quali il numero della carta di credito e il codice CVC/CVV all’interno di Google Chrome, la nuova variante di Emotet rappresenta un pericolo quanto mai concreto. Secondo gli analisti di sicurezza, dopo aver rubato le informazioni sulla carta di credito (nome, mese e anno di scadenza, numeri di carta), il malware li invierebbe a server di comando e controllo C2 diversi rispetto a quelli utilizzati dallo stesso modulo Emotet per rubare le carte.
Come difendersi dalla nuova variante di Emotet
Alla luce di tutto questo, si consiglia agli amministratori di rete e ai professionisti del settore di tenere aggiornarti i propri apparati di sicurezza con gli IoC che vengono periodicamente pubblicati dalla comunità cyber per arginare l’attività della botnet.
Fortunatamente vengono in aiuto anche due validi strumenti gratuiti Emocheck e HaveibeenEmotet rispettivamente per verificare se indirizzi e-mail o domini sono coinvolti nel malspam di Emotet e se è in corso una possibile infezione sui propri dispostivi.
Nel frattempo, il CERT-AgID conferma con il suo ultimo bollettino, per la terza settimana consecutiva, Emotet come il malware più diffuso in Italia.
Discussion about this post