Attaccanti Inviando Email di Phishing IRS per Installare Malware Emotett

In una scoperta, i ricercatori di sicurezza di Malwarebytes e Palo Alto Networks unit 42 hanno trovato il malware Emotet che prende di mira gli utenti con email di phishing contenenti allegati falsi del modulo W-9.

L’Emotet è un’infezione malware infame che viene distribuita tramite email di phishing che in precedenza contenevano documenti Microsoft Word e Microsoft Excel con macro dannose che installano il malware.

Tuttavia, poiché Microsoft ora blocca le macro per impostazione predefinita nei documenti Microsoft Word scaricati, il malware Emotet si è spostato su Microsoft OneNote con script incorporati per installare il malware Emolett.

Gli attaccanti che operano Emotet generalmente utilizzano campagne di phishing a tema per coincidere con le festività e le dichiarazioni fiscali annuali, cioè, la stagione fiscale negli Stati Uniti. Per quanto riguarda la campagna di phishing trovata da Malwarebytes, gli attaccanti inviano email con l’oggetto “Modulo fiscale TRS W-9” mentre si spacciano per un’autorità del Servizio di Rinnovo Interno.

Leggi: Malware Common Magic & Power Magic Utilizzati in Attacchi di Sorveglianza Avanzati

Queste email di phishing hanno un archivio ZIP chiamato W-9 form.zip che contiene un documento Word dannoso. Il documento è stato gonfiato a 500MB per rendere difficile per il software di sicurezza rilevare se è dannoso.

Quando l’Emotet viene installato, il malware inizia a rubare le email della vittima per le sue future catene di attacco e poi invia email di spam e, alla fine, installa altro malware che fornisce accesso iniziale ad altri attori della minaccia.

Detto ciò, poiché Microsoft ora blocca le macro per impostazione predefinita, gli utenti sono meno propensi a passare attraverso il dolore di abilitare le macro e infettarsi tramite documenti Word.

Ora, nell’attività di phishing trovata dall’Unità 42 di Palo Alto, gli attaccanti aggirano queste restrizioni utilizzando documenti Microsoft OneNote con file VBScript abilitati che installano il malware.

Dopo di ciò, l’attività di phishing utilizza l’email della catena di replay, che finge di essere i partner commerciali che inviano alle vittime il modulo W-9.

Il documento OneNote allegato farà credere che sia protetto e richiede all’utente di fare doppio clic per visualizzare correttamente il documento, anche se ciò che è nascosto all’interno è il pulsante Visualizza che ha VBScripts che verranno lanciati invece.

Quando si apre il file VBScript incorporato, Microsoft OneNote avverte l’utente che il file potrebbe essere dannoso, ma sfortunatamente, come sappiamo, molti utenti semplicemente ignorano questi avvisi e consentono l’esecuzione dei file. Una volta eseguiti i file, il VBScript scaricherà il DLL di Emotet e lo eseguirà utilizzando regsvr32.exe.

Dopo di ciò, il malware funziona silenziosamente in background, rubando email e contatti e poi aspettando un ulteriore payload da installare sul dispositivo.

Quindi, se ricevi un’email che afferma di avere il modulo W-9 o da qualsiasi altro modulo fiscale, semplicemente scansiona prima il documento con un software antivirus.

Inoltre, questi moduli vengono inviati come allegati PDF, non come allegati Word, quindi evita di aprirli e abilitare le macro e piuttosto elimina le email.

Leggi: Aggiornamento sulla Sicurezza Informatica di Fortinet Fallito; Zero-Day Sfruttato da Attori della Minaccia