L’operazione del famigerato malware Emotet, dopo una pausa di tre mesi, ha ripreso l’attività. Da martedì 7 febbraio 2023 sta nuovamente inviando e-mail dannose, ricostruendo la sua rete e infettando dispositivi in ​​tutto il mondo.

Come noto, Emotet è malware distribuito tramite e-mail contenente allegati di documenti Microsoft Word ed Excel dannosi. Quando gli utenti aprono tali documenti e le macro sono abilitate, la DLL Emotet verrà scaricata e caricata in memoria. Una volta caricato Emotet, il malware rimarrà in silenzio, in attesa di istruzioni da un server di comando e controllo remoto, rubando, alla fine, e-mail e contatti delle vittime per utilizzarli in future campagne Emotet o scaricare payload aggiuntivi o altri malware che comunemente portano ad attacchi ransomware.

Sebbene Emotet sia stato considerato il malware più distribuito in passato, ha gradualmente rallentato, con la sua ultima operazione di spam osservata nel novembre 2022, spamming durato allora solo due settimane.

In questi giorni, la società di sicurezza informatica Cofense e il gruppo di tracciamento di Emotet Cryptolaemus hanno avvertito che la botnet Emotet ha ripreso a inviare e-mail.

“A partire dalle 12:00 UTC, Ivan ha finalmente ottenuto E4 per inviare spam. Stiamo vedendo template Red Dawn molto grandi che superano i 500 MB. Attualmente stiamo vedendo un discreto flusso di spam”, ha twittato Cryptolaemus.

Anche Cofense ha confermato che la campagna di spam è iniziata alle 8:00 EST, con volumi attuali rimasti bassi. “La prima e-mail che abbiamo visto è stata intorno alle 7:00 EST. Il volume rimane basso in questo momento mentre continuano a ricostruire e raccogliere nuove credenziali da sfruttare e rubriche da prendere di mira”, ha riferito Cofense a BleepingComputer.

Le e-mail dannose sembrano rispondere a catene di e-mail già esistenti, con l’aggiunta di un file .zip allegato.  I file .zip non sono protetti da password. I temi dei file allegati includono finanze e fatture.

I file .zip allegati a queste recenti e-mail di Emotet contengono un documento Office con macro che una volta aperto, richiede all’utente “Abilita contenuto”, che consentirà l’esecuzione delle macro dannose. Le macro scaricheranno un Emotet .dll da un sito esterno e lo eseguiranno localmente sulla macchina.

I documenti Word presenti nei file zip sono gonfiati di dimensioni superiori a 500 MB e pieni di dati inutilizzati per rendere i file più grandi e difficili da scansionare e rilevare come dannosi dalle soluzioni antivirus.

La DLL Emotet è stata imbottita per essere 526 MB per ostacolare la capacità di rilevarla come dannosa dal software antivirus.

Questa tecnica di evasione mostra il successo, come illustrato in una scansione di VirusTotal  in cui il malware viene rilevato solo da un fornitore di sicurezza su 64 motori, con quel fornitore che lo rileva solo come “Malware.SwollenFile”.

Una volta eseguito, il malware verrà eseguito in background, in attesa di comandi, che probabilmente installeranno ulteriori payload sul dispositivo.

I payload consentono ad altri attori delle minacce di accedere in remoto al dispositivo, che viene quindi utilizzato per diffondersi ulteriormente nella rete compromessa.

Questi attacchi portano comunemente al furto di dati e ad attacchi ransomware in piena regola sulle reti violate.

Cofense afferma di non aver visto alcun payload aggiuntivo cadere ora e il malware sta solo raccogliendo dati per future campagne di spam e spiega che non è chiaro quanto durerà questo giro di attività via email. Mentre un precedente ciclo di attività nel 2022 si è protratto per più settimane, l’ultimo ciclo si è verificato in meno di due settimane nel novembre 2022, con più di tre mesi di inattività su entrambi i lati.

https://cofense.com/blog/emotet-sending-malicious-emails-after-three-month-hiatus/

https://www.bleepingcomputer.com/news/security/emotet-malware-attacks-return-after-three-month-break/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE