Come i ladri escogitano sempre nuovi sistemi per eludere antifurti di auto o delle abitazioni, così sul web gli hacker fanno la stessa cosa per aggirarei sistemi di sicurezza presenti sui dispositivi degli utenti. Un caso è questo di Emotet.
Infatti, sono state rilevate per la prima volta nuovi escamotage di ingegneria sociale che coinvolgono l’implementazione della botnet malware Emotet, utilizzando formati di indirizzi IP “non convenzionali” nel tentativo di eludere il rilevamento da parte di soluzioni di sicurezza.
Ciò comporta l’uso di rappresentazioni esadecimali e ottali dell’indirizzo IP. I quali, una volta elaborate dai sistemi operativi sottostanti, vengono automaticamente convertite “nella rappresentazione decimale puntata per avviare la richiesta dai server remoti“. Come spiega l’analista delle minacce di Trend Micro, Ian Kenefick in un rapporto di venerdì scorso.
Come funziona aggiramento IP di Emotet
Le catene di infezione, come i precedenti attacchi relativi a Emotet, mirano a indurre gli utenti ad abilitare le macro dei documenti e ad automatizzare l’esecuzione di malware. Il documento utilizza le macro di Excel 4.0, una funzionalità che è stata ripetutamente abusata da malintenzionati per fornire malware.
Una volta abilitata, la macro richiama un URL che è offuscato da punti di accento circonflesso, con l’host che incorpora una rappresentazione esadecimale dell’indirizzo IP — “h^tt^p^:/^/0xc12a24f5/cc.html” — per eseguire un’applicazione HTML (HTA ) codice dall’host remoto.
Una seconda variante dell’attacco di phishing segue lo stesso modus operandi, con l’unica differenza che l’indirizzo IP è ora codificato nel formato ottale — “h^tt^p^:/^/0056.0151.0121.0114/c.html“.
Kenefick ha aggiunto
L’uso non convenzionale di indirizzi IP esadecimali e ottali può comportare l’evasione delle soluzioni attuali basate sul pattern matching (…) Tecniche di evasione come queste potrebbero essere considerate prove del fatto che gli aggressori continuano a innovare per contrastare le soluzioni di rilevamento basate su modelli.
Il ritorno del malware dopo una pausa di quasi un anno
Lo sviluppo arriva in mezzo alla rinnovata attività di Emotet alla fine dello scorso anno dopo una pausa di 10 mesi sulla scia di un’operazione coordinata delle forze dell’ordine per interrompere la botnet.
Nel dicembre 2021, i ricercatori hanno scoperto prove dell’evoluzione del malware nelle sue tattiche per rilasciare Cobalt Strike Beacon direttamente sui sistemi compromessi.
I risultati arrivano anche quando Microsoft ha rivelato i piani per disabilitare le macro di Excel 4.0 (XLM) per impostazione predefinita per salvaguardare i clienti dalle minacce alla sicurezza. “Questa impostazione ora è predefinita per le macro di Excel 4.0 (XLM) disabilitate in Excel (Build 16.0.14427.10000)“, ha annunciato la società la scorsa settimana.
Come difendersi da questa minaccia? Meglio sempre installare un antivirus come Norton!