Ritorna Emotet: evade le difese di Microsoft attraverso allegati OneNote

La nuova ondata di Emotet utilizza gli attachment di OneNote per bypassare le restrizioni di sicurezza di Microsoft, il blocco delle macro, e infettare più obiettivi possibile. Come proteggersi

Ancora Emotet. Ma questa volta la distribuzione avviene attraverso allegati OneNote per evadere le macro security.

La nuova ondata di Emotet utilizza, infatti, gli attachment di OneNote per bypassare le restrizioni di sicurezza di Microsoft e infettare più obiettivi possibile.

“Emotet è uno dei malware più popolari tra i cybercriminali russi, che se ne avvalgono per lo più come strumento di attacco iniziale seguito da trojan bancari e ransomware”, commenta Giulio Vada, Regional Sales Manager Italy / Group-IB: “Ed è tornato il 7 marzo dopo una lunga pausa, non si era più rilevato spam con questo malware dal novembre 2022. Non è tuttavia la prima volta che Emotet si ripresenta dopo miglioramenti interni”. Ecco quali sono le differenze rispetto al passato e come difendersi.

Emotet: allegati di OneNote per bypassare le macro security

Emotet è un noto malware botnet, storicamente distribuito attraverso allegati Microsoft Word ed Excel contenenti macro malevoli. Quando l’utente apre l’attachment e abilita le macros, scarica una DLL, la cui esecuzione installa il malware Emotet sul dispositivo.

Una volta effettuato il download, il malware ruba contatti email e contenuti da usare in future campagne spam. Inoltre scarica altri payload che forniscono accesso iniziale alle reti aziendali. Accessi corporate sfruttati per condurre cyber attacchi contro l’azienda, compresi attacchi di tipo ransomware, furto di dati, cyber spionaggio ed estorsioni di denaro.

Il ritorno di Emotet preoccupa. Ma poiché Microsoft adesso blocca le macro in automatico nei documenti Word ed Excel scaricati, inclusi gli allegati alle email, questa nuova campagna è cambiata. Ora sfrutta i file OneNote per distribuire malware ed evadere il blocco delle macro da parte di Microsoft.

“Di solito, il malware dropper di Emotet utilizza email di spam per diffondere allegati dannosi. Dopo che Microsoft ha deciso di bloccare le macro nei file di Office scaricati, gli allegati di OneNote sono risultati la scelta più semplice”, conferma Andrea Scattina, Channel Sales Manager Italy / Stormshield.

La nuova campagna usa infatti catene di posta elettronica che imitano guide, how-to, fatture, referenze professionali ed altro.

“In Europa abbiamo rilevato campagne in Italia, Spagna, Germania e Francia”, continua Giulio Vada: “Emotet utilizza file di grandi dimensioni per bypassare i controlli di sicurezza di soluzioni che monitorano solo i primi byte di file pesanti o addirittura li saltano a piè pari”.

Invece “le email fraudolente contengono un file zip allegato e non protetto da password di 600 Kilobyte”, continua Vada: “Il file compresso contiene un documento Office (per lo più Word) gonfiato ad oltre 500 megabyte”.
Lo schema di attacco

I documenti Microsoft OneNote allegati alle email visualizzano un messaggio che avverte che il file è protetto. Ed invita a cliccare due volte sul pulsante Visualizza.

Infatti, “per poter leggere il documento agli utenti si chiede di abilitare i contenuti. Una volta abilitate le macro, queste scaricano un archivio zip che contiene la DLL di Emotet a 64 bit, anch’essa di oltre 500 megabyte. La DLL Emotet viene quindi salvata sul sistema in una qualsiasi cartella nella directory %LocalAppData% e lanciata utilizzando il servizio regsvr32.exe”, mette in guardia Vada.

“Nella configurazione standard, tutti gli script o i contenuti remoti di documenti Microsoft Office devono essere abilitati manualmente dalle vittime”, avverte Vada: “Peraltro, in questi casi agli utenti viene mostrato un avviso ancora più specifico in merito al potenziale contenuto dannoso. Tuttavia, questi meccanismi di protezione non sono stati implementati integralmente in OneNote, motivo per cui gli sviluppatori di Emotet hanno iniziato ad abusarne”.

“Gli hacker allegano alle email documenti di Microsoft OneNote che mostrano un messaggio che indica che il documento è protetto”, Andrea Scattina, “e chiede all’utente di fare doppio clic sul pulsante “Visualizza” per visualizzarlo correttamente”.

“A questo punto Microsoft OneNote visualizza un messaggio di avviso. Tuttavia, la maggior parte degli utenti fa clic su “OK” in fretta per superare l’avviso e continuare. Una volta premuto il pulsante OK, il file VBScript click.wsf incorporato viene eseguito utilizzando WScript.exe dalla cartella Temp di OneNote. Lo script distribuisce il malware Emotet come DLL e lo memorizza nella stessa cartella Temp. Il passaggio successivo consiste nell’avviare la DLL tramite regsvr32.exe”, evidenzia Scattina.
Come proteggersi

“Microsoft attuerà misure di sicurezza”, sottolinea Giulio Vada, “e pubblicherà una patch per mitigare questa vulnerabilità, resasi evidente dopo una serie di attacchi di phishing in cui gli attori della minaccia hanno creato documenti con l’estensione .one tipica di file OneNote integrandovi file mascherati dalla schermata di richiesta di cliccare per visualizzare il contenuto del documento”.

In attesa degli aggiornamenti di sicurezza da parte di Microsoft, la miglior arma di difesa è la consapevolezza dei rischi. Bisogna imparare a riconoscere il phishing ed evitare di caderne vittima.

“Questo malware fa affidamento sul phishing come vettore”, conferma Giulio Vada, “per questo motivo le aziende necessitano di soluzioni di protezione della posta elettronica professionali, che blocchino questo tipo di email con strumenti moderni come il sandboxing o piattaforme per la detonazione di malware”.

Anche EmoCheck è uno strumento che può essere usato per verificare la presenza nel sistema di un’infezione causata da Emotet, ma non non c’è una soluzione che offra una protezione al 100% contro Emotet o altri Trojan in perenne evoluzione. Quindi, isolamento in sandboxing e attività di pulizia di tutti i device connessi alla rete per ridurre la diffusione del malware sono buone pratiche.

Infine, “ad oggi il sistema migliore per impedire l’esecuzione della DLL”, conclude Andrea Scattina, “è l’utilizzo di sistemi di protezione endpoint di tipo comportamentale che non lavorano su firme ma proattivamente sulle conseguenze che il lancio della DLL può avere nell’endpoint infetto”.