Il formato dell’indirizzo IP non tradizionale è stato utilizzato dal malware Emotet per evitare il rilevamento

In precedenza, è stato notato che il malware denominato Emotet utilizza sofisticate tecniche di ingegneria sociale per rilevare il malware utilizzando formati di indirizzi IP “insoliti”. Per evitare il rilevamento, è un metodo molto efficace secondo i ricercatori.

Alla fine dell’anno scorso, lo sviluppo è il risultato del rilancio dell’attività di Emotet. Successivamente è stato il risultato di un corrispondente sforzo delle forze dell’ordine.

Venerdì, Trend Micro ha pubblicato un rapporto in cui afferma che l’uso delle rappresentazioni esadecimali e ottali dell’indirizzo IP viene automaticamente convertito in una rappresentazione quadrupla decimale puntata che viene elaborata dai sistemi operativi sottostanti.

Come altri attacchi di malware, questo brutto virus o catene di infezione sono progettate per indurre gli utenti ad abilitare i comandi macro e una volta fatto chiamerà un URL che è stato offuscato con segni di accento circonflesso con l’host che include l’indirizzo IP in formato esadecimale.

Questo è stato fatto per eseguire il codice dell’applicazione HTML da un host remoto. Nonostante ciò, i truffatori includono un indirizzo IP codificato in formato ottale. Tutte queste funzionalità, comprese le macro di Excel 4.0, sono state utilizzate in modo improprio dai criminali informatici per distribuire malware.

Inoltre, Emotet è un tipo di malware noto come virus Trojan bancario che viene diffuso principalmente tramite e-mail di spam (malspam). L’infezione può arrivare tramite script dannosi, file di documenti con attivazione macro o collegamenti dannosi.

Secondo i ricercatori, la soluzione sopra menzionata potrebbe essere aggirata, il che potrebbe in seguito comportare l’uso insolito di indirizzi IP ottali ed esadecimali.

Lo scorso novembre, i ricercatori hanno scoperto che questo malware sospetto utilizza vari metodi per diffondere il malware Trickbot direttamente sui PC interessati. Pertanto, la presenza di questo dubbio malware può portare a perdite finanziarie significative.

Per proteggere gli utenti da problemi di sicurezza, Microsoft ha annunciato di disabilitare le macro di Excel 4.0 (XLM).