Campagna di malspam tenta di veicolare Emotet invitando a sostenere l’attività di Greta Thunberg

23/12/2019

Il CERT-PA durante l’attività di monitoraggio delle fonti OSINT, è venuto a conoscenza di una nuova campagna di phishing mirata a veicolare il malware Emotet, già oggetto di news nei giorni scorsi.

Come per la precedente campagna il veicolo di trasmissione del malware è sempre una e-mail contenente un file .DOC armato con macro malevola. In questa campagna si invita a supportare l’attività svolta da “Greta Thunberg” nell’occasione delle festività natalizie.

Emotet è un banking Trojan in circolazione dal 2014 che, come abbiamo più volte ricordato, è tra i malware largamente diffusi ed associato ad eventi cibernetici volti a compromettere sistemi MS Windows anche a danno di utenti italiani.

In un rapporto emesso da Proofpoint, i ricercatori hanno verificato come in questa campagna, oltre a domini generici, siano bersagliati anche indirizzi di posta sul dominio .edu.

Di seguito due esempi rilevati dai ricercatori di Proofpoint e di Vir.IT in cui è possibile notare l’uso di simili termini (oggetto e corpo) con differenti nomi di allegati malevoli:

 

L’oggetto delle e-mail può presentarsi nelle forme seguenti:

  • Sostieni Greta
  • Sostieni Greta – Time Person of the Year 2019
  • Sostieni Greta Thunberg
  • Sostieni Greta Thunberg – Time Person of the Year
  • Sostieni Greta Thunberg – Time Person of the Year 2019

Non è escluso che possano circolare altre mail con oggetti diversi da quelli sopra indicati.

A seconda della versione, la mail potrà contenere un file denominato “Support Greta Thunberg.doc” oppure, come nell’esempio, un file denominato “Greta Thunberg.doc” la cui apertura da parte dell’utente richiede un ulteriore conferma per l’esecuzione della macro malevola:

 

Una volta abilitato l’editing del documento, la macro viene eseguita e, attraverso uno script Powershell, effettua il download del malware da una sorgente remota:

 

Come per altre campagne il CERT-PA raccomanda di non aprire allegati di cui non è certa la provenienza e di mantenere le impostazioni di esecuzione delle macro sempre a livello elevato. Per eventuali ulteriori chiarimenti si rimanda al bollettino emesso dal CERT-PA riguardante le “Azioni utili per contrastare l’esecuzione e la diffusione di malware“.

Indicatori di compromissione

Gli IoC di seguito riportati fanno riferimento al malware Emotet anche ma non solo in riferimento alla specifica campagna:

  • IoC (.txt) – Domini, Hash, URL
  • Hashr (.txt) – Hash