La nuova versione del trojan Emotet arriva nelle nostre caselle email nascondendosi nelle risposte a messaggi inviati da noi a contatti conosciuti, non viene individuato dai filtri antispam e antivirus e sta infettando i computer di migliaia di italiani.
Una volta installatosi, cerca d’infettare i dispositivi dei contatti presenti in rubrica e può fare da ponte per ulteriori attacchi di ransomware che cifrano i documenti contenuti nel computer infetto e chiedono un riscatto in Bitcoin. Inoltre ruba le password e, quando eseguiamo bonifici bancari, è in grado di inserirsi nel processo e dirottare il denaro.
Come funziona l’attacco di Emotet
Nella nostra posta in arrivo compare un’email di risposta a una vecchia mail inviata da noi a un contatto conosciuto. Il contenuto dell’email fa sempre riferimento a un allegato in cui sono presenti informazioni che avremmo richiesto o che devono essere visionate da noi.
L’allegato è un documento Office o PDF e, se clicchiamo per aprirlo nessun antivirus ce lo impedisce perché la minaccia non è il file, ma nell’azione richiesta dal file.
Al clic sull’apertura del file ci viene mostrata una schermata blu con il testo: “Questo file è stato creato con una versione precedente di Microsoft Office Word. Per visualizzare il contenuto è necessario fare click sul pulsante ‘Abilita modifiche’, situato sulla barra gialla in alto, e poi cliccare su “Abilita contenuto”.”
A questo punto Microsoft Office ci avvisa con un messaggio pop up che dice “Avviso di sicurezza. Le macro sono state disabilitate”. Se nonostante questo, procediamo con l’attivazione del codice contenuto nel documento, diamo via libera all’installazione del malware.
Uno dei punti forti che permettono a questo tipo di infezione di propagarsi velocemente è che i messaggi contenenti il malware non finiscono nella cartella di spam perché provengono da contatti noti, con i quali abbiamo scambiato corrispondenza e dai quali dovrebbe essere improbabile ricevere email di spam.
Come difendersi
Ormai sappiamo tutti che non bisogna mai aprire un allegato proveniente da un contatto sconosciuto, soprattutto se si tratta di un eseguibile (nomefile.exe), ma come fare a difendersi se si tratta di un file Office proveniente da un contatto ben noto?
In questi casi, soprattutto se si tratta di un file che non abbiamo richiesto o non aspettavamo, meglio avere qualche riguardo prima di aprirlo perché anche semplici documenti come Word o PDF possono contenere codice malevolo, quindi attenzione ai file che chiedono l’attivazione di macro. Se li si vuole comunque aprire, la cosa migliore è utilizzare un software di sola visualizzazione che non permette l’attivazione dei codici macro inseriti nei documenti o, in alternativa, caricare l’allegato in una cartella Dropbox, Google Drive o OneDrive e visualizzare l’anteprima, potendo così verificare se si tratta di un documento utile o meno.
anche io sono tra i truffati. come denunciarli. e vitare il falso rimborso
giuseppe