Il framework Emotet
Il trojan bancario Emotet, apparso in natura per la prima volta nel 2014, si è nel tempo evoluto fino a diventare un vero e proprio framework criminale multi forma, rappresentando di sicuro una delle principali minacce nel 2018, nel 2019 e nei primi mesi del 2020 in pieno inizio era COVID-19.
Come segnalato da vari report di sicurezza, le botnet Emotet hanno iniziato a veicolare malspam, utilizzando consuete e ben collaudate tecniche con campioni e-mail, spesso recapitati come risposte in contesti di comunicazioni preesistenti, contenenti allegati o link URL afferenti il più delle volte a file Microsoft Office malevoli, con lo scopo ultimo di propagare anche altre forme di software malevolo come trojan (Trickbot) e ransomware (Ryuk) sui computer delle malcapitate vittime.
Infatti spesso i criminal hacher sfruttano indirizzi e-mail conosciuti alle stesse vittime non solo per sferrare attacchi di spear phishing, aggiungendo credibilità allo spam, ma anche per distribuire malware. Nella fattispecie, è noto come l’e-mail intercettate e carpite da Emotet vengano trasmesse a server presidiati e utilizzate per future campagne fraudolente.
La campagna in atto che interessa le istituzioni scolastiche
Questa volta l’allarme a lanciarlo è proprio la Polizia Postale con un comunicato semplice e diretto https://www.commissariatodips.it/notizie/articolo/false-mail-contenenti-malware-e-allapparenza-provenienti-da-istruzioneit/index.html :
“È in corso una massiccia campagna di diffusione del malware “EMOTET” attraverso mail che sembrerebbero provenire da caselle riconducibili al dominio @istruzione.it, con un allegato in formato Zip protetto da password (presente nel testo della mail), da scaricare.
Il trojan ha diverse finalità tra cui in via prioritaria l’accesso a contatti ed informazioni personali anche di tipo bancario…”
Inoltre in un tweet delle scorse ore gli specialisti di sicurezza TGSOFT hanno reso noto https://twitter.com/VirITeXplorer/status/1346062116994887685?s=19 sulla base della loro continua attività di monitoraggio che numerosi sono gli indirizzi coinvolti e che risultano appartenenti a domini istituzionali del MIUR: istruzione.it, pec.istruzione.it, posta.istruzione.it, postarcert.istruzione.it.
In particolare nel periodo compreso tra il 28 e 31 dicembre 2020, il team segnala una consistente catalogazione di indirizzi e-mail coinvolti e relativi al dominio “istruzione.it” con 2858 indirizzi utilizzati come falsi mittenti (ovvero account di posta elettronica compromessi da EMOTET), 452 indirizzi utilizzati come mittenti reali (ovvero account di posta elettronica che sono stati compromessi non necessariamente da EMOTET) e ben 7177 indirizzi di posta elettronica destinatari di malspam proveniente dalla botnet in oggetto, e relativi al dominio “pec.istruzione.it” con numeri che sarebbero più contenuti anche se sempre rilevanti: 598 indirizzi relativi a falsi mittenti, 339 indirizzi relativi a mittenti reali e 2274 destinatari.
Come proteggersi
Poiché, come già accennato, uno dei moduli Emotet consente di rubare anche credenziali e quindi di diffondersi mediante messaggi infetti provenienti da utenti presenti tra i nostri contatti, per evitare di contribuire inconsapevolmente alla catena di propagazione, è importante proteggere gli account, oltreché utilizzando password robuste e diverse per ogni profilo, attivando se possibile meccanismi di autenticazione multi fattore e servizi di alerting e procedendo, quanto prima, a verificare se il proprio indirizzo di posta elettronica sia stato in qualche modo compromesso, consultando il database HAVEiBeenEMOTET https://www.haveibeenemotet.com/index.phpprogressivamente tenuto aggiornato dagli analisti di TGSOFT con gli indirizzi e-mail utilizzati nella campagne di diffusione Emotet.
In ogni caso risultano anche utili allo scopo le raccomandazioni di protezione che solitamente si suggeriscono per contrastare generalmente il phishing, quali ad esempio prestare la massima attenzione quando si ricevono e-mail di provenienza sospetta o da mittenti sconosciuti e evitare di aprire allegati o abilitare l’esecuzione di macro Microsoft Office, anche se le azioni potrebbero sembrare apparentemente legittime.
