Dopo circa tre mesi di silenzio, Emotet è tornato in attività con l’invio di numerose email di phishing. La modalità di distribuzione è rimasta quasi invariata, ma i cybercriminali hanno migliorato le tecniche di evasione per aggirare i controlli delle soluzioni di sicurezza. Gli esperti di Trend Micro hanno descritto i trucchi utilizzati.
Cos’è il binary padding?
La catena di infezione inizia con l’invio di un’email che sembra provenire da un mittente conosciuto. Ciò permette ai cybercriminali di inserirsi una discussione in corso senza destare sospetti. In allegato al messaggio c’è un archivio ZIP che contiene un documento Word di oltre 500 MB.
La dimensione reale del documento è di pochi KB. I cybercriminali usano la tecnica nota come “binary padding” per aggiungere dati inutili alla fine del file (spesso una sequenza di zeri) e incrementare artificiosamente la dimensione. File così grandi non vengono intercettati dalle soluzioni di sicurezza.
Se eseguita dall’utente, la macro inclusa nel documento Word scarica da un server remoto la DLL di Emotet che riceve lo stesso trattamento, ovvero l’aggiunta di dati inutili per incrementare la dimensione. Se gli antivirus non rilevano nulla di anomalo, la DLL viene caricata in memoria.
Questa versione di Emotet include moduli per rubare i dati dal computer (info-stealer) e inviare messaggi di spam ad altri utenti. In futuro potrebbero essere aggiunte altre funzionalità, come il download di backdoor e ransomware. Gli utenti devono prestare molta attenzione alle email ricevute, anche se il mittente sembra affidabile.