Il virus Emotet che può minacciare il tuo Studio Notarile: cos’è e come proteggerti

Di virus non vorremmo più sentirne parlare, come pure di minacce di qualsiasi genere, ma non puoi tralasciare di predisporre una solida strategia di Security Management all’interno del tuo Studio Notarile

Virus e sicurezza informatica, cyber attacchi, crimini e criminali informatici sembrano argomenti lontani anni luce da noi finchè non ci imbattiamo di persona nei danni da essi generati.

Da qui la necessità e l’importanza di conoscere il potenziale pericolo e di organizzare una security policy che protegga tutta l’architettura informatica dello studio Notarile.

Dalla fine del 2021 si è tornato a parlare di Emotet.

Lo spauracchio Emotet

“Io penso che i virus dei computer debbano essere considerati

come una vita. Io credo che ci insegni qualcosa sulla natura

umana, dato che l’unica forma di vita che abbiamo creato

è fino ad ora puramente distruttiva. Abbiamo creato la vita

a nostra stessa immagine.”

(Stephen Hawking)

Emotet è, sin dal 2014, uno dei malware più diffusi al mondo: una vecchia conoscenza della Rete (chiamato anche Heodo), capace di aggiornare costantemente le sue tecniche d’attacco.

La nuova campagna Emotet, attiva tra fine novembre ed inizio dicembre 2021, è stata scoperta dai ricercatori di Palo Alto Networks Unit 42, i quali hanno verificato che questa sfrutta le macro di Word ed Excel, evidenziando in tal modo lo sforzo continuo degli operatori che si celano dietro questa minaccia per renderla il più evasiva e versatile possibile.

Numerosi gruppi criminali utilizzano infatti questa botnet per condurre le proprie operazioni (una botnet è una rete di computer infettati da software dannoso in modo da poter essere controllati in remoto: i computer vengono così forzati a inviare spam, diffondere virus o lanciare attacchi DDoS senza che i veri proprietari dei computer ne siano consapevoli).

Secondo i ricercatori di Check Point, la botnet di Emotet ha ad oggi infettato fino ad 1,5 milioni di sistemi su scala mondiale, generando proventi per 2,5 miliardi di dollari: una cifra impressionante che ci evidenzia quanto prolifica e redditizia sia l’industria del cyber crime.

La catena di infezione prevede l’utilizzo di email phishing tramite allegati Word ed Excel con macro malevole, archivi ZIP protetti da password e testi con riferimenti a conversazioni presumibilmente carpite da pc Windows precedentemente infettati.

Come saprai, l’ e-mail phishing è una truffa informatica effettuata inviando un’e-mail con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati (numero di carta di credito, password di accesso al servizio di home banking, ecc…), motivando tale richiesta con ragioni di ordine tecnico.

L’obiettivo può essere quello di sottrarre credenziali, per lo più di tipo bancario: Emotet usa infatti gli account delle vittime per inviare ulteriori messaggi, spesso da fonti considerate fidate.

Una volta che vengono aperti i documenti allegati ai messaggi di posta elettronica, sui sistemi delle vittime viene avviata l’esecuzione delle macro Excel 4.0 offuscate (una macro è costituita da una serie di comandi e istruzioni che vengono raggruppati in un unico comando, che permette di completare un’attività automaticamente),  in tal modo il codice dannoso di Emotet va in esecuzione e viene installato un trojan.

Il malware trojan prende il nome dal mito greco del cavallo di Troia, in quanto ne imita la tecnica per infettare i computer che attacca: un trojan infatti si nasconde all’interno di programmi apparentemente innocui oppure cerca di indurre l’utente a installarlo nel proprio computer.

Come agisce Emotet

“Esiste un’unica forma di contagio che si trasmette

più rapidamente di un virus. Ed è la paura.”

(Dan Brown)

Come detto, Emotet si diffonde prevalentemente come truffa tramite e-mail (vedi le immagini riportate a fondo pagina, alla fine dell’articolo).

Mettendo in atto una strategia definita “thread hijacking”, grazie alla quale viene “rubata” ed utilizzata una conversazione via email già esistente (email thread), il server dell’attaccante, innestandosi in una precedente conversazione, invia un link malevolo o un allegato malevolo.

Emotet procede a generare risposte false via e-mail basate su messaggi di posta elettronica legittimi rubati dai client di posta dei pc Windows precedentemente infettati; utilizza poi questi contenuti email rubati per creare risposte false che impersonano i mittenti originali.

Emotet usa questi dati di posta elettronica trafugati per creare risposte fake impersonando i mittenti originali (per trarre più facilmente in inganno il destinatario): l’email può contenere un file .zip crittografato nel tentativo di aggirare i sistemi di sicurezza, la password del file .zip è inclusa nell’email, in modo che la vittima possa estrarne il contenuto.

Il file .zip crittografato inoltrato da Emotet contiene un singolo documento Excel con una macro: quando la vittima abilita la macro su un pc Windows vulnerabile viene attivato il contenuto malevolo.

Emotet mira ad estorcere denaro alle vittime, entrare in possesso di credenziali o rivendere dati di accesso ad altri criminali informatici.

La procedura con la quale opera Emotet è la seguente:

  • Si diffonde in prevalenza tramite truffe via e-mail;
  • Utilizza allegati infetti: in genere file di Word o Excel;
  • Una volta aperti, questi allegati infetti installano il malware (abbreviazione dell’inglese malicious software, letteralmente e tecnicamente “software malevolo”) nei dispositivi dei destinatari delle e-mail;
  • Emotet si introduce nelle loro conversazioni e-mail (appunto i “thread” ovvero le discussioni e gli scambi via e-mail) e si auto-invia ai loro contatti;
  • Questa tecnica di diffusione, come detto, è definita “thread hijacking” ed è il sistema attualmente utilizzato da Emotet per diffondersi

La pericolosità ed al contempo l’efficacia di Emotet è rappresentata dal fatto che l’e-mail non solo non proviene da mittenti sconosciuti (come avviene solitamente per altri virus malevoli), bensì da uno dei nostri contatti, ma soprattutto si inserisce in uno scambio pre-esistente di e-mail al fine di illuderci che sia proprio il nostro contatto ad inoltrarci un’ulteriore comunicazione via e-mail inerente ad uno scambio di comunicazioni in itinere.

Come puoi proteggere il tuo Studio Notarile da Emotet

E’ fondamentale che tu attui di base una solida e strutturata strategia di Security Management all’interno del tuo Studio Notarile.

Per quanto attiene al virus Emotet:

  • Installa sempre gli ultimi aggiornamenti di sicurezza non appena disponibili, sia per il tuo sistema operativo che per qualsiasi altra applicazione installata nei tuoi dispositivi;
  • Utilizza sempre un valido software antivirus;
  • Non fare mai click su collegamenti e/o allegati sospetti ricevuti attraverso le e-mail. Anche se i mittenti sono a te noti, è sempre meglio verificare direttamente prima con loro l’autenticità dell’invio se vi è qualche minimo dubbio;
  • Non fare mai “click” sul pulsante “abilita contenuto” (vedi esempio più sotto) in Microsoft Word o Excel se hai accidentalmente aperto un allegato sospetto o sconosciuto. Questa operazione infatti potrebbe avviare il malware Emotet;
  • Disabilita di default le macro dal sistema operativo al fine di bloccare ab origine il codice malevolo

E’ proprio questo il motivo per cui a fine febbraio 2022 Microsoft ha ufficialmente disattivato il protocollo usato da Emotet per infettare i computer con sistema operativo Windows 10: ha infatti di fatto disabilitato di default le macro di Excel XML 4.0 con la conseguenza che quando l’utente apre un documento compare un popup di sicurezza “Abilita contenuto” e solo nel momento in cui l’utente clicca abilitando il contenuto potrebbe essere avviata la macro malevola.

Be careful, be safe!

Messaggio di posta con allegato Excel contenente la macro
Documento Excel che chiede di abilitare la macro per essere aperto

Lascia un commento