Emotet è un malware di tipo botnet che sembra stia diventando sempre più diffuso. Inoltre, si prevede il passaggio a nuovi payload attualmente rilevati da pochi motori antivirus.
In sostanza, si tratta di un trojan modulare a propagazione automatica, in grado di permanere sui sistemi infettati. Oltre a rubare dati e altre operazioni dannose, è in grado di scaricare ulteriori payload, ransomware incluso.
I payload dannosi relativi alla botnet vengono diffusi tramite l'invio di e-mail, che negli ultimi tempi sarebbe decuplicato. Infatti, Kaspersky ha pubblicato un report secondo cui le attività di Emotet sarebbero passate da 3.000 a 30.000 e-mail da febbraio a marzo. Il target è internazionale, dato che i messaggi sarebbero stati inviati in diverse lingue, italiano incluso. Fra le altre lingue citiamo l'inglese, il francese, il russo e il cinese.
I responsabili di questi attacchi sfruttano anche la stagionalità, in questo caso, infatti, le e-mail erano camuffate da messaggi di auguri per la Pasqua. Secondo Check Point, Emotet occupa il primo posto in classifica fra i malware più attivi a marzo 2022.
Dunque, a causa della sua prolificità, Emotet è tenuta sotto osservazione da diversi gruppi di ricerca, incluso Cryptolaemus, secondo cui i responsabili del malware sarebbero passati a moduli e loader a 64 bit su Epoch 4, uno dei sottogruppi della botnet che opera su un'infrastruttura a parte, come dichiarato su Twitter.
Cannot get X.com oEmbed
In ogni caso, è previsto il passaggio a Epoch 5, dato che Epoch 4 di solito viene usato come banco di prova durante lo sviluppo, sempre secondo il gruppo. A conferma di questa ipotesi, il tasso di rilevamento di Epoch 4 sarebbe calato del 60%, e ciò potrebbe essere il risultato diretto di tale passaggio.