Mar
21

Emotet si diffonde tramite allegati di tipo OneNote

Emotet ora si diffonde tramite allegati di tipo OneNote

Il famigerato malware Emotet ora utilizza i file di Microsoft OneNote per eludere gli antivirus.
 
Emotet è una nota rete di malware nota per distribuire malware tramite e-mail con allegati Microsoft Word ed Excel che contengono macro dannose. Se un utente apre l'allegato e attiva le macro, viene scaricata ed eseguita una DLL che installa il malware Emotet sul dispositivo. Una volta installato ed attivo in memoria, il malware ruba i contatti e-mail e il contenuto dei messaggi e-mail per utilizzarli in future campagne di spam. Il malware è in grado poi di scaricare altri software malevoli che forniscono l'accesso alla rete aziendale.
Sebbene Emotet sia stato uno dei malware più distribuiti in passato, nell'ultimo anno si è fermato e avviato a intervalli, per poi interrompersi verso la fine del 2022.
 
Dopo tre mesi di inattività, all'inizio di questo mese la botnet Emotet si è improvvisamente riaccesa, diffondendo e-mail dannose in tutto il mondo. Tuttavia, questa campagna iniziale non ha provocato molti danni in quanto continuava a utilizzare documenti Word ed Excel con macro. Poiché Microsoft ora blocca automaticamente le macro nei documenti Word ed Excel scaricati, questa campagna ha infettato solo un numero ristretto di utenti.
 
Emotet passa a Microsoft OneNote
Come già previsto da alcuni analisti, in una successiva campagna di spam Emotet individuata per la prima volta dal ricercatore di sicurezza Abel, gli autori di Emotet hanno iniziato a distribuire il malware utilizzando allegati malevoli di Microsoft OneNote. Questi allegati vengono distribuiti tramite finte e-mail di risposta che si spacciano per guide, istruzioni per l'uso, fatture, referenze di lavoro e altro ancora.
 
Gli allegati delle e-mail sono documenti Microsoft OneNote (file con estensione .one) che visualizzano un messaggio in cui si afferma che il documento è protetto. Viene quindi richiesto all'utente di fare doppio clic sul pulsante "Visualizza" per visualizzare correttamente il documento.
 
In questa campagna di malware Emotet, gli attori della minaccia hanno nascosto un file VBScript dannoso chiamato "click.wsf" sotto il pulsante "Visualizza".

Anche se Microsoft OneNote fa comparire un avviso quando un utente tenta di avviare un file incorporato in OneNote, la storia ci insegna che molti utenti fanno comunemente clic sul pulsante "OK" per eliminare l'avviso ed andare avanti.

Questo file VBScript contiene uno script pesantemente offuscato che scarica una DLL da un sito Web remoto, probabilmente compromesso, e poi la esegue.


Sebbene non si sappia quali payload questa campagna rilasci alla fine, di solito porta all'installazione di Cobalt Strike o di altre minacce informatiche.
Questi payload consentono agli attori delle minacce che lavorano con Emotet di ottenere l'accesso al dispositivo e di utilizzarlo come trampolino di lancio per diffondersi ulteriormente nella rete. Questo accesso viene utilizzato per condurre attacchi informatici contro l'azienda, che potrebbero includere attacchi ransomware, furto di dati, spionaggio informatico ed estorsione.
 
Blocco dei documenti Microsoft OneNote dannosi.
Con gli allegati Word e Excel ormai da tempo "sotto osservazione", Microsoft OneNote è diventato un enorme problema di distribuzione di malware, con numerose campagne di mal spam che utilizzano questi allegati.

Per porre rimedio a questo problema, Microsoft aggiungerà a OneNote protezioni migliorate contro i documenti di phishing, ma ad oggi non c'è una tempistica specifica per quando questo aggiornamento sarà disponibile per tutti.
Tuttavia, gli amministratori di Windows possono configurare i criteri di gruppo per bloccare completamente i file incorporati in Microsoft OneNote o per consentire all'utente di specificare estensioni di file specifiche che devono essere bloccate dall'esecuzione. È anche possibile intervenire sulla protezione dei messaggi e-mail con una regola che blocchi gli allegati di tipo OneNote.
 
Dato che l'attacco tramite file OneNote potrebbe presto essere sfruttato anche da altri cybercriminali, si consiglia vivamente agli amministratori di Windows di utilizzare una di queste opzioni finché Microsoft non aggiungerà ulteriori protezioni a OneNote.