Quando il Cyber Risk è nel palmo della tua mano
Non tutte le minacce informatiche arrivano sui nostri Pc, anzi secondo un recente rapporto il 50% degli attacchi da parte di Criminal Hacker nel 2019 avevano come bersaglio Smartphone e Tablet. Una realtà che forse ancora non è ben compresa da tutti. L’ennesima riprova? Una nuova campagna Emotet – un tipo di Malware molto dannoso – è stata diffusa tramite messaggi SMS che simulano in tutto e per tutto quelli provenienti dalle banche.
Come? Gli aggressori, una volta ottenuti i numeri di telefono delle vittime, inviano messaggi di testo studiati per speculare fino all’ultima virgola le comunicazioni solitamente inviate dagli istituti di credito dei propri target.
All’interno viene chiesto agli utenti di cliccare un link appositamente creato. Una volta aperto il collegamento nei messaggi di testo, viene chiesto alle vittime di inserire le proprie credenziali bancarie (che vengono quindi sottratte) e di scaricare un file che di fatto infetta i loro sistemi con il malware Emotet.
Il ritorno del malware Emotet, riapparso a settembre del 2019, è stato sicuramente caratterizzato dal suo continuo evolversi, compresa una nuova e pericolosa funzione di hacking Wi-Fi, rivelata sole poche settimane fa settimana che può permettere al malware di diffondersi come un worm(una particolare categoria di malware in grado di auto-replicarsi.).
La campagna menzionata in apertura, invece, consegna il malware tramite “smishing”, una forma di phishing che si basa su messaggi di testo invece che sulla posta elettronica (con cui penso moltissimi di noi sono familiari).
Anche se lo smishing non è certamente una novità, questa la tattica di consegna esemplifica perfettamente la strategia degli operatori dietro Emotet che variano costantemente i loro approcci per andare oltre le semplici email di malspam, rendendo quindi difficile per tutti tenere il passo.
Il gruppo di Criminal Hacker dietro Emotet, Mealybug, ha variato i suoi livelli di attività nel corso del tempo, a volte andando in lunghi periodi di pausa e periodi di attività a basso volume.
Dalla fine del 2019, però, Mealybug ha spinto la sua attività attraverso vari canali, tra cui spam, e-mail di sextorsion, SMiShing e stratagemmi come falsi avvisi di Coronavirus che sono stati diffusi in Giappone.
I messaggi SMS oggetto dell’ultima ondata simulano di provenire da numeri locali degli Stati Uniti – il target della campagna – e impersonano le banche, avvertendo gli utenti di conti corrente bloccati.
Nella foto: Pierguido Iezzi, Co-Founder di Swascan e docente al Webinar "Come valutare il rischio Cyber delle Aziende?" il 20 marzo 2020)
I messaggi invitano le vittime a cliccare su un link, che le reindirizza verso un dominio noto per la distribuzione di Emotet (shabon[.]co).
Visivamente, quando le vittime cliccano sul link, vedono una pagina di phishing personalizzata che imita la pagina di mobile banking del proprio istituto di credito (il dominio della landing page smishing è stato registrato lo stesso giorno in cui sono stati inviati gli SMS).
Questo fa figurare il nome della banca (con un dominio di primo livello diverso) ed è stato progettato per persuadere le vittime a inserire le loro credenziali come primo passo, per poi far loro scaricare un file di documento – contenente il malware – come secondo passo.
Dopo aver esaminato due file binari che vengono “serviti” alle vittime da questo file, i ricercatori che per primi hanno analizzato il fenomeno, hanno trovato alcuni contenuti spazzatura nel file, contenenti estratti di “notizie” riguardanti il presidente degli Stati Uniti Donald Trump e il candidato presidenziale Michael Bloomberg.
Un modo abbastanza curioso per depistare e confondere le proprie tracce.
È interessante anche notare che il trojan TrickBot utilizza spesso un simile metodo anti-rilevazione relativo al contenuto spazzatura, facendo ipotizzare un plausibile collegamento tra i due tipi di file dannosi.
Mentre Emotet ha iniziato la sua vita come trojan “bancario” nel 2014, si è continuamente evoluto fino a diventare un meccanismo di delivery della minaccia completo. Delivery di trojan proprio come TrickBot, protagonista di un recente attacco che ha preso di mira le Nazioni Unite.
Solo l’inizio?
Sapendo che Emotet è uno dei modi con cui i payload di TrickBot vengono scaricati sui sistemi infetti, c’è la possibilità che questo attacco sia una campagna mirata progettata per consentire la diffusione proprio di quest’ultimo.
Guardando al futuro è facile immaginare come questa recente campagna di smishing, insieme ad altre recenti apparizioni di Emotet, dimostri che i suoi operatori potrebbero cercare di lanciare futuri Cyber attacchi, potenzialmente intorno alle prossime Olimpiadi del 2020.
Secondo i ricercatori, Mealybug si sta attrezzando per espandere la sua rete di bot (Botnet), diversificare le sue fonti di reddito illecite e preparare una più ampia superficie d’attacco in Giappone, possibilmente in vista dell’evento sportivo internazionale del 2020 che si terrà a Tokyo in estate.
Fonte:Libero Tecnologia