Emotet è un malware molto diffuso, usato soprattutto per frodi bancarie da alcuni anni nelle sue varie versioni. La sua incarnazione più recente colpisce via mail, usando un allegato in formato Microsoft Word che la vittima viene indotta ad aprire per curiosità o per altri motivi. Se la vittima abbocca e apre l’allegato, il documento Word chiede di attivare le macro; se la vittima le attiva, l’allegato scarica e installa un programma, che a sua volta scarica il payload, ossia il malware infettante vero e proprio che consente la frode.
Questo payload cambia in continuazione, per evitare di essere riconosciuto dagli antivirus. I criminali sono furbi.
Ma a volte c’è qualcuno più furbo di loro. Emotet scarica il payload da URL pubblici di Internet sempre diversi (spesso siti di terzi, che non sanno di essere sfruttati), e in queste ore qualcuno sta trovando il modo di scoprire questi URL e sostituire rapidamente il loro payload con una GIF dell’attore James Franco o di Tom DeLonge dei Blink-182.
Somebody appears to be replacing Emotet payloads with this GIF of James Franco https://t.co/YCCSFwfTZb pic.twitter.com/oSPGka9l6g— Kevin Beaumont (@GossiTheDog) July 22, 2020
Here's an example of a doc from last night from AnyRun, all the payloads were replaced and so Emotet didn't drop, even if the victim had no security controls. pic.twitter.com/eBaYP4i5Lw— Kevin Beaumont (@GossiTheDog) July 22, 2020
Il risultato è che al posto di scaricare il payload infettante, il malware scarica un’immagine animata innocua e la vittima viene salvata.
Non si sa chi stia facendo quest’azione di vigilantismo digitale, che sta salvando dall’infezione centinaia di siti in tutto il mondo, ma di certo è qualcuno che ha un discreto senso dell’umorismo e ha familiarità con i memi di Internet. Infatti se vi state chiedendo perché siano stati scelti proprio James Franco e Tom DeLonge, il motivo è che quelle loro GIF sono usate spessissimo per indicare sorpresa e perplessità, che è l’emozione che proveranno i criminali quando scopriranno che la loro trappola ha fallito miseramente.
Va chiarito che la mail-esca Emotet ha effetto solo su chi non usa precauzioni basilari, come un antivirus costantemente aggiornato, e soprattutto colpisce le organizzazioni che non insegnano ai propri utenti a non attivare MAI le macro di Word o e a non eseguire mai cose ricevute via Internet in modo inatteso.
Anche i siti terzi che ospitano il malware a propria insaputa hanno una parte di responsabilità perché non hanno preso misure per impedire agli aggressori che usano Emotet di depositare il payload, ma non spetta a loro avvisare gli utenti: sono gli utenti a doversi premunire e difendere.