A volte ritornano, Emotet botnet di nuovo alla carica dopo 5 mesi

Dopo 5 mesi di silenzio, la botnet Emotet ricomincia a inviare e-mail di phishing all'interno di una nuova campagna malware con file di Office

Avatar di Marco Doria

a cura di Marco Doria

Anche i malware vanno in vacanza. Almeno così sembra. Dopo una "pausa" di cinque mesi, infatti, la botnet Emotet sembra sia tornata attiva, con una campagna di spam via e-mail.

Forse ricorderete lo schema d'attacco: Emotet prevede la diffusione di malware tramite documenti Excel o Word compromessi inviate a mezzo posta elettronica, con l'impiego delle tecniche del phishing. L'utente viene spinto con l'inganno ad aprire i documenti che a loro volta attivano delle macro, con il conseguente download del file DLL di Emotet e il suo caricamento in memoria.

Da qui, il malware avvia le proprie operazioni nefaste, ovvero cercare e rubare e-mail da utilizzare in campagne di spam successive, nonché installare ulteriori payload come Cobalt Strike e altri malware solitamente mirati a condurre attacchi ransomware.

L'operazione Emotet sembrava dormiente, infatti negli ultimi cinque mesi non si erano registrate attività. Tuttavia, il gruppo di ricerca Cryptolaemus ha rilevato l'avvio di un'operazione di spam alle 4 del mattino del 2 novembre.

Tra le novità introdotte dal gruppo, c'è un nuovo modello per gli allegati Excel, in cui viene spiegato all'utente come aggirare le funzioni di protezione Microsoft per poter visualizzare il documento.

Il malware, una volta scaricato, agisce silenziosamente in background, collegandosi al server C2 in attesa di ulteriori istruzioni o di caricare ulteriori payload. Tuttavia, al momento pare che le infezioni Emotet connesse alla campagna in corso non abbiano rilasciato ulteriori payload malware sui dispositivi colpiti.

Non è detto che la situazione cambi a breve, però, dato che Emotet è nota per il caricamento di malware e beacon come Cobalt Strike e TrickBot, senza contare che da quando l'operazione Conti ransomware è cessata, il gruppo Emotet ha iniziato a collaborare con altre operazioni ransomware come BlackCat e Quantum.

Leggi altri articoli