Dopo circa tre mesi di silenzio, Emotet è nuovamente in attività. Il client della botnet che trasforma i computer in zombie usa nuove tecniche di evasione, come hanno rilevato gli esperti di Trend Micro. I cybercriminali hanno ora cambiato l’applicazione Office sfruttata per distribuire il malware. Invece di Excel e Word hanno scelto OneNote, una soluzione già adottata da Qakbot.
Emotet: attacchi tramite OneNote
Gli attacchi effettuati con Emotet hanno sempre sfruttato Excel e Word. Le potenziali vittime ricevono in allegato alle email documenti e fogli di lavoro contenenti macro che, quando eseguite, scaricano il client di Emotet sotto forma di DLL. Il malware raccoglie numerosi dati dal computer e successivamente effettua il download di altri payload (ransomware inclusi) usati per estorsione e spionaggio.
Dopo circa tre mesi di silenzio, Emotet è ritornato in attività all’inizio del mese di marzo. Per la prima campagna è stato usato il metodo tradizionale, quindi ha avuto uno scarso successo. Microsoft ha infatti bloccato l’esecuzione delle macro incluse nei documenti scaricati da Internet. Come previsto, la nuova campagna sfrutta i documenti di OneNote.
Quando l’ignara vittima apre il documento ricevuto via email, OneNote mostrerà un avviso di protezione. Per vedere il contenuto deve essere cliccato due volte sul pulsante “Visualizza“. Viene quindi eseguito uno script Visual Basic nascosto nel documento che scarica la DLL di Emotet.
Microsoft ha annunciato che introdurrà entro aprile una migliore protezione contro i file OneNote infetti. Nel frattempo è possibile bloccare l’esecuzione degli script nei documenti OneNote, utilizzando uno specifico criterio di gruppo per Office.