Il giustiziere mascherato che sostituisce il malware con Gif animate

Un anonimo ''vigilante'' sta sabotando con successo l'operato della botnet Emotet.



[ZEUS News - www.zeusnews.it - 27-07-2020]

emotet vigilante

Tra la fine del 2019 e l'inizio del 2020, Emotet fu una delle botnet più attive e una delle operazioni criminali più pericolose. Poi la sua infrastruttura venne smantellata, e la minaccia svanì.

Da qualche tempo Emotet è tornata. Per diffondersi adopera le solite modalità: un'email dall'aspetto ufficiale contiene un link sul quale invita a cliccare per scaricare del materiale fatto passare per importante e urgente.

Detto materiale, naturalmente, non è altro che un file infetto: di solito si tratta di un documento Word che contiene del malware, tramite il quale sui Pc delle vittime vengono installati dei trojan.

Per ospitare i loro file infetti, gli admin di Emotet hanno deciso di sfruttare una delle piattaforme più diffuse del web: Wordpress.

Sfruttando vulnerabilità non corrette, violano i siti Wordpress e vi installano una web shell, ossia uno script che consente di gestire da remoto il server su cui il sito stesso è ospitato. È così che caricano i file contenenti il malware.

Proprio questo è però anche il punto debole di Emotet. Lo script di web shell adoperato non è uno dei più avanzati in circolazione, e in tutti i casi gli amministratori delle botnet hanno tenuto la stessa password.

Così all'orizzonte è apparso un giustiziere sconosciuto che, scoperta la password, ha preso a sabotare l'operato di Emotet, sostituendo i file infetti con delle innocue Gif animate (che riportiamo in coda all'articolo).

Il misterioso vigilante ha iniziato metodicamente a individuare i siti Wordpress violati e a portare avanti la propria opera di sostituzione; secondo le società di sicurezza che sorvegliano la diffusione di Emotet, ha già manomesso circa un quarto di tutti i link diffusi da Emotet.

Dal punto di vista degli utenti, ciò significa che, se anche cliccano sul collegamento presente nella email iniziale, anziché scaricare il file infetto scaricano un'innocua immagine animata: l'opera di Emotet viene così vanificata.

Gli amministratori di Emotet - secondo quanto segnala Joseph Roosen, membro del gruppo di white hat Cryptolaemus - sarebbero perfettamente a conoscenza dell'opera del giustiziere mascherato, e avrebbero anche cercato di correre ai ripari.

L'opera di sabotaggio è stata tuttavia soltanto rallentata, e non fermata, dalla controffensiva. La guerra, insomma, continua.

Al momento nessuno ha idea di quale sia la vera identità della persona che sta vanificando tanti tentativi di infezione di Emotet: non si sa nemmeno se si tratti di una persona soltanto o di un gruppo.

È lecito ipotizzare che possa trattarsi di qualcuno che lavora per un'azienda specializzata in sicurezza informatica, m potrebbe benissimo trattarsi del membro di un gruppo di cybercriminali rivale.

Quel che è certo è che, vigilante o no, gli utenti dovrebbero sempre tenere a mente che è una pessima idea cliccare sui link presenti nelle email senza aver verificato con estrema attenzione la destinazione.

Qui sotto, le tre Gif messe al posto dei file infetti.

emotet01
emotet02
emotet03

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Ransomware da 300.000 franchi, come funziona Ryuk
Emotet, il ritorno

Commenti all'articolo (0)


La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual Ť la strategia ''mobile'' per il tuo web business?
Nessuna, spero che il traffico mobile diminuisca.
La versione mobile del mio sito.
Sto studiando il mobile proprio in questo periodo.
Non ho ancora piani o strategie.
Offrire app gratuite.
Sviluppare app da vendere.

Mostra i risultati (453 voti)
Agosto 2020
Che cosa succede dentro a uno pneumatico quando si viaggia?
Chrome permetterà di modificare le password salvate
Red Hat: Non installate quella patch
Il dispositivo che assorda gli Amazon Echo
Luglio 2020
La vecchia raccolta di Cd e Dvd potrebbe essere in pericolo
5G: come eliminare il 90% delle emissioni
Bloatbox ripulisce Windows 10 dalle app indesiderate
Non coprite quella webcam
Falla nei caricabatterie: telefoni e tablet a rischio incendio
Windows 10, come aggirare il bug che segnala la mancanza di connessione
Windows 10 e l'aggiornamento che risolve tutti i bug
Razzismo: via i termini blacklist, master e slave dal kernel Linux
WindowsFX, la distribuzione Linux per chi vuole lasciare Windows 10
Come disinstallare il nuovo Edge da Windows 10
Iliad diventa operatore di rete fissa
Tutti gli Arretrati


web metrics