Emotet, rilevata una nuova variante del malware

06/11/2018

emotet malspam malware

Una nuova variante del malware bancario Emotet, rilevata di recente dai ricercatori di Kryptos Logic, che tramite uno specifico modulo, appositamente integrato, sarebbe in grado di scaricare le comunicazioni inviate e ricevute negli ultimi 180 giorni dal client Outlook (ove presente).

I vecchi moduli di Emotet già utilizzavano Microsoft Outlook Messaging API (MAPI) per “esfiltrare” l’elenco dei contatti da Outlook.

MAPI può essere utilizzato in due modalità: come Simple MAPI (da Windows Live) o come full MAPI (da Microsoft Outlook e Exchange). MAPI se configurato adeguatamente permette sostanzialmente l’accesso alla posta. Il modulo di Emotet controlla prima di tutto questa configurazione. In particolare verifica se la chiave di registro HKLM\Software\Clients\Mail\Microsoft Outlook è stata visitata e se il valore DllPathEx (il percorso del modulo mapi32.dll) è definito. In caso contrario, il modulo malevolo implementato in questa variante di Emotet interrompe la sua azione malevola.

A differenza dei vecchi moduli, che riuscivano a catturare solo il destinatario e il mittente della mail, la nuova versione acquisisce anche l’oggetto e il corpo. Inoltre è in grado di catturare qualsiasi messaggio presente nelle sottocartelle dell’interpersonal message (IPM) root folder.

Il modulo esegue le seguenti attività per ogni email scansionata:

  • verifica se la email è stata inviata/ricevuta (PR_MESSAGE_DELIVERY_TIME) negli ultimi (100e-9 * 15552000000 * 10000 / 3600 / 24) 180 giorni;
  • se la condizione precedente è verificata, recupera il mittente (PR_SENDER_NAME_W, PR_SENDER_EMAIL_ADDRESS_W), il destinatario (PR_RECEIVED_BY_NAME_W, PR_RECEIVED_BY_EMAIL_ADDRESS_W), l’oggetto (PR_SUBJECT_W) e il corpo (PR_BODY_W);
  • se il corpo è più grande di 16384 caratteri, questo viene troncato a tale grandezza e aggiunge la stringa “…”.

Infine viene creata una linked list globale di strutture dati contenenti le informazioni sopra elencate. La linked list viene quindi codificata in Base64 e memorizzata in un file temporaneo.

Catena di infezione

Di seguito sono rappresentate le fasi del meccanismo preposto alla raccolta delle e-mail in un sistema compromesso da Emotet:

  • Il sistema infetto (Emotet Infected System) carica il modulo DLL tramite il server di comando e controllo (C2). Questa DLL successivamente inietta il payload nel nuovo processo Emotet;
  • Il nuovo processo Emotet, come mostrato in figura, esegue la scansione di tutte le email e salva i risultati in un file temporaneo (.TMP);

  • Il modulo DLL attende che il processo di scansione abbia fine (o lo termina dopo 300 secondi), quindi legge tutto il contenuto del file temporaneo;
  • Il modulo DLL invia una richiesta HTTP utilizzando WinINet che a sua volta provvede all’invio del file temporaneo (solo se più grnade di 116 bytes).

Si sottolinea che questo modulo può essere diffuso su qualsiasi sistema già infetto da Emotet.

Conclusioni

Emotet è una delle botnet più avanzate mai create e rappresenta una seria minaccia: secondo i ricercatori di Kryptos Logic è molto probabile che Emotet, anche grazie al modulo DLL implementato, raccoglierà innumerevoli e-mail su decine di migliaia di sistemi infetti. Questa enorme quantità di dati raccolta può rappresentare un’arma pericolosa, in quanto fornisce agli attaccanti capacità di analisi sui dati. Da non sottovalutare viste le conseguenze dovute al furto di posta elettronica nel recente passato.


Indicatori di compromissione

Dalle attività di analisi su fonti OSINT/CLOSINT, il CERT-PA fornisce gli indicatori associati a generiche varianti di Emotet, rilevati nelle ultime 48 ore, con impatto nel contesto Nazionale: