En forskare inom cybersäkerhet bekräftar en ny Emotet-kampanj i Italien: här är vad du behöver veta om viruset som stjäl pengar från ditt bankkonto.
Säkerhetsforskaren JAMESWT meddelade i en tweet för några timmar sedan att han återigen har fångat upp den extremt farliga ryska banktrojanen Emotet, en skadlig kod som redan har angripit flera bankkonton under de senaste månaderna. Kampanjen har pågått i Italien i några dagar och är mycket farlig.
Infektionsmekanismen liknar de attacker vi redan sett: den börjar med ett phishing-e-postmeddelande från en riktig men komprometterad e-postadress som innehåller en bilaga med ett skript som laddar ner viruset från Epoch 2-botnätet av zombiedatorer. Liknande attacker med samma teknik pågår även i andra länder runt om i världen förutom Italien, vilket är ett tecken på att de cyberkriminella som ligger bakom dessa kampanjer är mer aktiva än någonsin under de senaste månaderna, efter ett kort uppehåll under sommaren.
Emotet: hur det fungerar
JAMESWT har visat några skärmdumpar av de e-postmeddelanden som infektionen kommer ifrån. De kommer från till synes riktiga och legitima adresser, men kommer från infekterade datorer och innehåller en lösenordsskyddad Zip-bilaga (lösenordet finns med i meddelandet).
Meddelandetexten, som är på god italienska och utan grammatiska fel, utnyttjar den spänning som uppstår på grund av den svåra tid som italienarna upplever på grund av Covid-19-pandemin. Det meddelande som forskaren visar lyder: "God eftermiddag, jag gick till John Paul I-laboratoriet för att fråga om svabbningen: du måste vara där tidigt på morgonen kl. 6.30, eftersom de öppnar kl. 7 och kön är lång, jag kunde inte göra mer, jag är ledsen. Jag bifogar utgiftsåtagandet.
Budskapet, som är tydligt för alla, är välstuderat, baserat på social engineering-tekniker och kan vara trovärdigt för många av de personer som får det, som kan falla för det och öppna zip-filen. I zip-filen finns ett Microsoft Word-dokument med engelsk text (denna del av attacken har tydligen inte lokaliserats för Italien) som uppmanar användaren att uppdatera Word.
I verkligheten startar ett skript som hämtar viruset från en lista med servrar i olika länder runt om i världen när man öppnar Word-filen.
Emotet: varför det är farligt
Emotet, även känt under namnen Geodo eller Mealybug, har sedan starten 2014 syftat till att stjäla miljontals bankuppgifter från intet ont anande användare som, till följd av infektionen, har sett sina pengar lämna sina bankkonton utan någon uppenbar förklaring.
Denna skadlig kod kan stjäla bankkontouppgifter på nätet genom att spionera på användaren när han eller hon skriver in dem och söka efter information om dem i datorfiler. En annan farlig egenskap hos de senaste versionerna av Emotet är att den förvandlar den infekterade datorn till en zombiemaskin som förs in i ett av de tre botnät som viruset har tillgång till: Epoch 1, Epoch 2 och Epoch 3.
Emotet: hur man försvarar sig
Emotet-attacker återkommer nu ständigt under hösten och särskilt när julperioden närmar sig. Det har också hänt 2017, 2018 och 2019 och det kan inte undgå att hända igen i år. Emotet hade nyligen återvänt till Italien i slutet av augusti och en månad senare, i slutet av september, utfärdade till och med den italienska regeringens Computer Security Incident Response Team en särskild varning om detta virus.
Då angreppsmetoderna alltid är mycket lika är det bra att vara uppmärksam på några få men grundläggande saker. Den första är att alltid undvika att ladda ner bilagor från adresser som vi inte känner till eller som, även om de tillhör kända personer, inte skulle ha någon anledning att skicka oss den filen.
Den andra är att inte klicka på några länkar, varken i e-postmeddelandet eller i de filer som vi kan ha laddat ner. Den tredje, men det vore bättre att sätta den först, är att vi alltid ska använda ett antivirusprogram av god kvalitet som ständigt uppdateras med de senaste månatliga definitionerna av kända skadliga program.