Libero
SICUREZZA INFORMATICA

Il virus Emotet torna per Natale: come proteggere il conto corrente

Dopo due mesi di silenzio torna a farsi vivo il trojan bancario Emotet insieme a un altro pericolosissimo malware, TrickBot, con una campagna di phishing diretta anche all'Italia.

Sette settimane, tanto è durata la pace per i conti correnti bancari. Cioè per i bersagli preferiti di Emotet, l’ormai ben noto malware che viene trasmesso tramite massicce campagne di invio di email infette di phishing. Ma la pace, proprio sotto Natale, è finita: i ricercatori di Cofense hanno infatti intercettato una forte ripresa della campagna di phishing, con oltre 100.000 email inviate al giorno. Le email sono in lingua inglese, tedesca, spagnola e purtroppo anche italiana.

Nato nel 2014 come "semplice" trojan bancario, nel tempo Emotet è stato affinato parecchio e oggi è in grado di fare molti più danni che in passato, anche perché quando entra in azione scarica altri virus. Secondo i ricercatori attualmente Emotet sta scaricando TrickBot, un altro famoso e pericoloso malware che ha come conseguenza principale l’attacco al conto corrente dell’utente. Entrambi i virus, quindi, hanno lo stesso bersaglio e la strategia è chiara: gli hacker giocano più carte contemporaneamente pur di riuscire a rubarci del denaro.

Emotet e TrickBot: cosa si rischia

Emotet è noto anche con i nomi di Geodo o Mealybug (tutte varianti dello stesso ceppo virale) ed è un potente strumento di spionaggio: una volta entrato nel computer va in cerca di informazioni personali, specialmente dei dati di login (nome utente e password) dei siti Web.

Se il computer è usato anche per accedere al conto in banca online, allora Emotet può trovare anche i dati di questo account con le conseguenze che tutti possono intuire: invia i dati al server di controllo, cioè agli hacker che poi li useranno per accedere al nostro conto e iniziare a fare bonifici per svuotarlo.

Emotet, poi, quando infetta un computer lo trasforma in uno zombie a sua disposizione inserendolo in una "botnet": una rete di computer dai quali partono altre email per diffondere ulteriormente l’infezione. Le botnet tipiche di Emotet sono Epoch 1, Epoch 2 ed Epoch 3.

TrickBot è forse ancor più pericoloso di Emotet: è sofisticato trojan sviluppato per la prima volta nel 2016 come malware bancario e inserisce i computer infetti in una botnet, esattamente come Emotet, ma in più riesce anche ad accedere al firmware UEFI/BIOS del PC e a infettarlo.

La UEFI (o il BIOS, se il computer è molto vecchio) è una memoria che contiene i parametri fondamentali per avviare il PC e viene letta per accendere il computer e metterlo in grado di lanciare il sistema operativo. Un virus che infetta la UEFI, quindi, è in grado di avviarsi molto prima che un eventuale antivirus possa essere eseguito.

Come difendersi da Emotet e Trickbot

La nuova campagna Emotet/TrickBot, come tutte le precedenti, viene gestita tramite invii massicci di email di phishing che invitano l’utente a scaricare un file o a fare click su un link. I file allegati sono quasi sempre in formato Microsoft 365 (di solito file Word) e appena vengono aperti chiedono all’utente di abilitare le macro.

Se l’utente ci casca è fregato: il file esegue uno script che fa partire l’infezione di Emotet. Il virus, subito dopo, si collega a Internet per scaricare anche TrickBot. Una volta entrati i due virus hanno davanti una prateria da conquistare, con i danni già descritti.

L’unico modo per difendersi da Emotet e Trickbot, oltre all’installazione di un ottimo antivirus, è sempre quello di non cadere nella trappola del phishing: mai aprire l’allegato e mai cliccare sul link, a meno che non siamo sicurissimi che si tratti di una email pulita.