Aggiornamenti recenti Gennaio 15th, 2025 2:00 PM
Feb 11, 2020 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS 0
L’emergenza non accenna a fermarsi. Dopo una sorta di “anno sabbatico”, il gruppo di pirati informatici che sfrutta il malware Emotet ha ripreso alla grande la sua attività e sta seminando il panico nel mondo della sicurezza.
Dopo aver guadagnato l’onore delle cronache per aver messo k.o. per 24 ore i sistemi di Francoforte, i cyber-criminali hanno cominciato a sviluppare nuove tecniche per diffondere il trojan attraverso campagne di spam via email e, si scopre adesso, hanno dotato il trojan di nuovi moduli per diffonderlo con le modalità di un worm.
Secondo quanto riportano i ricercatori di Binary Defense, la nuova variante di Emotet utilizza infatti un sistema di diffusione che sfrutta le reti Wi-Fi (in precedenza lo avevano già fatto sulle classiche LAN) per colpire nuovi dispositivi.
Il modulo in questione, chiamato Worm.exe, è stato analizzato dai ricercatori e risulta essere stato sviluppato nel 2018. Questo significa, si sottolinea nel report, che è stato probabilmente utilizzato in passato, ma è riuscito a passare inosservato per due anni.
La procedura di attacco prevede l’invio di una serie di richieste che delineano, per prima cosa, la struttura della rete Wi-Fi a cui è collegato il dispositivo infetto e le altre reti disponibili nell’area. Emotet procede poi a individuare le tipologie dei sistemi di autenticazione per ogni rete (WPA2PSK; WPAPSK; UNKNOWN; WEP; OPEN) e le tecniche di crittografia adottate.
Solo a questo punto, Worm.exe avvia l’attacco alle reti attraverso un classico brute forcing a dizionario, sfruttando un elenco di password integrato nel codice del malware. Se riesce a collegarsi alla rete Wi-Fi, avvia la scansione per individuare i dispositivi collegati e comincia ad attaccarli uno per uno.
Il tentativo di connessione mira all’utente attivo e sfrutta una seconda lista di password. Nel caso in cui il malware non riesca a violare le password degli utenti collegati, punta direttamente all’account di amministratore del dispositivo.
Se una delle due procedure va a buon fine, avvia la diffusione del payload rappresentato da un file chiamato my.exe che viene copiato direttamente sul disco C:\\ del computer.
Una volta attivo, il processo si collega al server Comand and Control e scarica Emotet. A questo punto i pirati informatici hanno a disposizione tutti gli strumenti che gli servono per controllare in remoto il computer, sottrarre informazioni sensibili dal sistema e installare ulteriore malware.
La scoperta di questa nuova tecnica di attacco conferma la pericolosità di Emotet, già “certificata” dalla distribuzione, a opera del CERT giapponese, di uno strumento specifico per l’individuazione del trojan che è possibile scaricare a questo indirizzo e che, nelle intenzioni degli esperti, dovrebbe consentire di frenare la diffusione (al momento incontrollabile) del malware.
Lug 26, 2024 0
Ago 04, 2023 0
Mar 09, 2022 0
Mar 01, 2022 0
Gen 15, 2025 0
Gen 13, 2025 0
Gen 13, 2025 0
Gen 09, 2025 0
Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 02, 2025 0
Oggi le aziende italiane non solo devono affrontare nuove e...Dic 31, 2024 0
Negli ultimi anni gli attacchi zero-day nei dispositivi...Dic 30, 2024 0
Nonostante gli sforzi per redigere e consegnare i report...Dic 23, 2024 0
Tempo di bilanci di fine anno anche per il mondo della...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Gen 15, 2025 0
Un bug presente nel flusso di autenticazione degli account...Gen 13, 2025 0
I ricercatori di Check Point Research hanno studiato una...Gen 13, 2025 0
Nel corso della settimana, il CERT-AGID ha rilevato e...Gen 09, 2025 0
Di recente è emersa una nuova campagna di phishing che...Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...