La botnet di Emotet ha ripreso le sue attività dopo cinque mesi di fermo

Source: Redhotcyber
La botnet di Emotet ha ripreso le sue attività dopo cinque mesi di fermo

Emotet ha ricominciato a inviare spam dopo una pausa di cinque mesi, durante la quale il malware era praticamente inattivo. 

Finora, Emotet non fornisce payload aggiuntivi ai dispositivi delle vittime, quindi non è ancora possibile dire esattamente a cosa porterà questa nuova campagna dannosa.

Uno dei primi a notare la ripresa dell’attività di Emotet sono stati gli esperti del gruppo Cryptolaemus, che comprende più di 20 specialisti della sicurezza delle informazioni provenienti da tutto il mondo, che nel 2018 si sono uniti per un obiettivo comune: combattere Emotet. 

Secondo loro, il malware, inattivo dal 13 giugno 2022, ha improvvisamente ripreso a funzionare il 2 novembre e ha iniziato a inviare spam in tutto il mondo.

I giornalisti di Bleeping Computer hanno elencato i nomi di alcuni dei file honeypot dannosi:

Scan_20220211_77219.xls
fattura novembre 2022.xls
BFE-011122 XNIZ-021122.xls
FH-1612 report.xls
2022-11-02_1739.xls
Fattura 2022 - IT 00225.xls
RHU-011122 OOON-021122.xls
Electronic form.xls
Rechnungs-Details.xls
Gmail_2022-02-11_1621.xls
gescanntes-Dokument 2022.02.11_1028.xls
Rechnungs-Details.xls
DETALLES-0211.xls
Dokumente-vom-Notar 02.11.2022.xls
INVOICE0000004678.xls
SCAN594_00088.xls
Copia Fattura.xls
Form.xls
Form - 02 Nov, 2022.xls
Nuovo documento 2022.11.02.xls
Invoice Copies 2022-11-02_1008, USA.xls
payments 2022-11-02_1011, USA.xls

Tommy Madjar, esperto di Proofpoint e collaboratore di Cryptolaemus, riferisce che una nuova campagna di spam utilizza thread di posta elettronica precedentemente rubati per diffondere allegati Excel dannosi.

Tra gli esempi già caricati su VirusTotal, è possibile trovare allegati destinati agli utenti di tutto il mondo, scritti in diverse lingue e con diversi nomi di file. I documenti dannosi sono mascherati da fatture, scansioni, moduli elettronici e così via.

I ricercatori osservano che questa campagna Emotet presenta un nuovo modello per gli allegati di Excel, che contiene istruzioni riviste per consentire agli utenti di aggirare Microsoft Protected View.

Microsoft aggiunge uno speciale flag Mark-of-the-Web (MoTW) ai file scaricati da Internet (inclusi gli allegati e-mail). Quando un utente apre un documento di Microsoft Office contenente il flag MoTW, si apre in modalità Visualizzazione protetta, che impedisce l’esecuzione di macro che installano malware.

Pertanto, gli operatori di Emotet ora istruiscono gli utenti a copiare il file nelle cartelle dei modelli attendibili, poiché ciò ignorerà le restrizioni di Visualizzazione protetta (anche per un file contrassegnato da MoTW).

Se un allegato dannoso viene lanciato dalla cartella Modelli, esegue immediatamente le macro che scaricano il malware Emotet nel sistema della vittima. Il malware viene caricato come DLL in diverse cartelle con nomi casuali in %UserProfile%AppDataLocal, quindi le macro installano la DLL utilizzando regsvr32.exe.

Il malware verrà quindi eseguito in background, collegandosi al server di comando e controllo degli aggressori per ricevere ulteriori istruzioni o installare payload aggiuntivi. Emotet ha distribuito il Trojan TrickBot ed è stato anche sorpreso a installare i beacon Cobalt Strike.

Storia di Emotet

Emotet è apparso nel 2014, ma solo negli anni ’20 è diventato una delle minacce più attive tra i malware.

Il malware è stato distribuito principalmente tramite e-mail di spam, documenti dannosi di Word, Excel e così via. Tali e-mail possono essere mascherate da fatture, lettere di vettura, avvisi di sicurezza dell’account, inviti a una festa o informazioni sulla diffusione del coronavirus. Gli hacker seguono attentamente le tendenze globali e miglioreranno costantemente le loro e-mail di phishing.

Sebbene Emotet sia nato come un classico Trojan bancario, da allora la minaccia si è evoluta in un potente downloader con molti moduli e i suoi operatori hanno iniziato a collaborare attivamente con altri gruppi criminali.

Dopo essere penetrato nel sistema della vittima, Emotet utilizza la macchina infetta per inviare ulteriore spam e ha anche installato una serie di malware aggiuntivo sul dispositivo. Spesso si trattava di TrickBot, Miner, infostealer, oltre a ransomware come Ryuk, Conti, ProLock.

Europol ha definito Emotet “il malware più pericoloso al mondo” e anche “una delle botnet più importanti dell’ultimo decennio”.

Il tentativo di eliminare la botnet, compiuto dalle forze dell’ordine nel 2021, non ha avuto successo: a fine anno il malware è tornato in servizio, collaborando con Trickbot per “rimettersi in piedi”.

Nella primavera di quest’anno, gli esperti hanno avvertito della crescita attiva di Emotet e la scorsa estate è stato notato che il malware ha acquisito un proprio modulo per il furto di carte di credito.

L’articolo La botnet di Emotet ha ripreso le sue attività dopo cinque mesi di fermo proviene da Red Hot Cyber.