Nonostante la situazione sia critica in tutto il mondo, i criminali informatici non si sono fermati e stanno sfruttando la paura e l'incertezza che circolano intorno al COVID-19 per sferrare attacchi contro le imprese. Più nello specifico stanno utilizzando il time-tested malware Emotet per realizzare campagne a tema COVID-19 contro vittime ignare.
Negli ultimi mesi Akamai ha infatti osservato un elevato volume di traffico di Emotet associato alle e-mail di spam relative alla delicata tematica del COVID-19. Emotet, noto anche come Geodo e Mealybug, è una delle forme più pervasive di malware. Identificato per la prima volta nel 2014, il virus era originariamente rivolto alle aziende nell’ambito dei servizi finanziari e agiva come un trojan che tentava di rubare le credenziali dei conti bancari o delle carte di credito dagli host compromessi. Successivamente gli operatori di Emotet hanno esteso il Trojan per includere i servizi di spamming e malware.Emotet è uno dei ceppi di malware più distruttivi e dispendiosi da mitigare. È in grado eludere gli strumenti di rilevamento signature-based e utilizza capacità simili a quelle dei worm per diffondersi rapidamente su una rete, seminando il caos.
Secondo il Dipartimento della Sicurezza Nazionale degli Stati Uniti, le infezioni di Emotet costano ai governi statali e locali degli Stati Uniti fino a 1 milione di dollari per ogni incidente. Emotet funziona tipicamente come downloader o dropper di altri malware. Gli attacchi Emotet nascono solitamente con e-mail di phishing che contengono un allegato o un URL dall'aspetto legittimo. Quando la vittima apre l'allegato o clicca sul link, esegue inconsapevolmente una macro che scarica il payload del virus dai server di comando e controllo (CNC) gestiti dagli aggressori. Una volta scaricato, Emotet stabilisce una presenza sul computer host e tenta di propagarsi nella rete locale tramite moduli di diffusione.
Non appena i criminali che utilizzano Emotet riescono a penetrare nella rete, spesso vendono l'accesso ai computer infetti ad altri criminali informatici seguendo gli schemi del Malware-as-a-Service (MaaS) o Cybercrime as a Service (CaaS), che impiantano a loro volta altri malware come per esempio i TrickBot, che possono essere utilizzati per rubare dati riservati e diffondere il ransomware Ryuk, nell'ambito di un cosiddetto attacco Triple Threat.
Negli ultimi mesi i criminali informatici hanno condotto una serie di campagne Emotet a tema COVID-19, data la diffusione del virus in tutto il mondo. Generalmente utilizzano e-mail di phishing che sembrano provenire da fonti ufficiali come i Centri statunitensi per il controllo delle malattie (U.S. Centers for Disease Control).
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.
