ESET monitora il ritorno di Emotet, puntando su Giappone, Europa meridionale e Italia

ESET segnala il ritorno di Emotet dopo le restrizioni del 2021, una famiglia di malware gestita da Mealybug o TA542, leader del mercato della sicurezza informatica.

ESET, leader europeo globale nel mercato della cybersecurity, ha pubblicato un resoconto dei movimenti della botnet Emotet da quando è tornata in auge dopo essere stata circoscritta nel 2021. Emotet è una famiglia di malware attiva dal 2014, gestita da un gruppo di criminali informatici noto come Mealybug o TA542. Sebbene sia nato come trojan bancario, si è poi evoluto in una botnet che è diventata una delle minacce più diffuse a livello mondiale.

Nel gennaio 2021, Emotet è stato oggetto di un'eliminazione parziale grazie all’impegno e alla collaborazione internazionale di otto Paesi, coordinati da Eurojust ed Europol. Emotet ha ripreso le attività nel novembre 2021 e ha lanciato diverse campagne di spam, per poi fermarsi bruscamente nell'aprile 2023. Nelle ultime campagne del 2022-2023, la maggior parte degli attacchi rilevati da ESET erano rivolti a Giappone (quasi la metà), Italia, Spagna, Messico e Sudafrica.

Dalla fine del 2021 alla metà del 2022, Emotet è stato diffuso principalmente attraverso documenti MS Word e MS Excel con macro VBA incorporate. Nel luglio 2022, Microsoft ha cambiato le carte in tavola per tutte le famiglie di malware come Emotet e Qbot - che avevano utilizzato come metodo di distribuzione e-mail di phishing con file dannosi - disabilitando le macro VBA nei documenti ottenuti da Internet.

In seguito, Emotet ha inserito un'esca in MS OneNote e, nonostante gli avvertimenti che questa azione potesse portare a contenuti maligni, le persone tendevano ad interagire con essa. Dopo la sua ricomparsa, ha ricevuto diversi aggiornamenti. Tra le caratteristiche degne di nota, la modifica dello schema crittografico e l'implementazione di nuove tecniche di copertura per proteggere i moduli della botnet. Gli operatori di Emotet hanno investito sforzi significativi per evitare il monitoraggio e il tracciamento. Inoltre, hanno implementato diversi nuovi moduli e migliorato quelli esistenti per rimanere operativi.

Emotet si diffonde tramite e-mail di spam, spesso ritenute affidabili, perché utilizzano con successo la tecnica del thread hijacking. Prima del blocco, Emotet utilizzava i moduli denominati Outlook Contact Stealer e Outlook Email Stealer per appropriarsi delle e-mail e delle informazioni di contatto di Outlook. Tuttavia, poiché non tutti utilizzano Outlook, dopo il takedown, Emotet si è concentrato anche su un'applicazione di posta elettronica alternativa gratuita, Thunderbird. Inoltre, ha iniziato a utilizzare Google Chrome Credit Card Steale, per trafugare i dati delle carte di credito memorizzate nel browser Google Chrome.

Secondo le ricerche e la telemetria di ESET, le botnet di Emotet sono silenti dall'inizio di aprile 2023, molto probabilmente a causa dell'individuazione di un nuovo vettore di attacco efficace. La maggior parte degli attacchi rilevati da ESET da gennaio 2022 a oggi ha avuto come obiettivo il Giappone (43%), l'Italia (13%), la Spagna (5%), il Messico (5%) e il Sudafrica (4%).

Per ulteriori informazioni tecniche su Emotet, consultare il blogpost "What's up with Emotet - A brief summary of what happened with Emotet since its comeback" su WeLiveSecurity.

www.eset.com

  Richiedi maggiori informazioni…