Dopo mesi di silenzio, Emotet è tornato

Sono state segnalate numerose email malevoli contenenti il malware Emotet che ha preso di mira Stati Uniti, Germania, Polonia, Italia e Regno Unito

I ricercatori hanno scoperto campagna di diffusione del malware Emotet indirizzate a colpire, aziende, istituzioni governative e utenti di tutto il mondo. Dopo un iniziale silenzio, il malware bancario è stato rilevato il 22 Agosto quando i server C2 hanno iniziato a rispondere attivamente alle richieste. Questo comportamento ha attirato l'attenzione dei ricercatori ed è così che hanno scoperto questa nuova campagna di diffusione.

Gli attacchi di malspam inseriscono nell'oggetto delle email frasi come “Avviso di pagamento” e altre simili. Il loro intento è quello di convincere gli utenti ad aprire gli allegati e fare in modo che vengano abilitati i macros malevoli. Questo innesca i comandi che permettono di scaricare Emotet dai siti web compromessi. Nella maggior parte dei casi, queste pagine si basano su WordPress.

Questa è la lista dei siti web compromessi nella recente campagna di malware di Emotet:

  • customernoble.com
  • taxolabs.com
  • www.mutlukadinlarakademisi.com
  • www.holyurbanhotel.com
  • www.biyunhui.com
  • nautcoins.com
  • keikomimura.com
  • charosjewellery.co.uk
  • think1.com
  • broadpeakdefense.com
  • lecairtravels.com.

Il malware Emotet è diventato molto forte: ora è in grado di prendere di diffondere centinaia di migliaia di email

Stando ai report, il malware sta prendendo di mira 66000 email e utilizza 30000 nomi di vari domini. Il suo intento è quello di infettare le vittime tedesche e polacche. Per la prima volta il trojan Emotet è stato rilevato Lunedì. Dopo aver ottenuto le email rubate, i creatori del virus inviano messaggi con file eseguibili, link di download e altri componenti malevoli utilizzati per diffondere Emotet.

Dopo di che il malware agisce come downloader per altre minacce come il ransomware Ryuk.

Dagli utenti privati fino ai domini dei vari organi di governo. La lista dei mittenti poi include la stessa dispersione della lista degli obbiettivi. Molte volte abbiamo visto utilizzare come obbiettivi la lista contatti rubata ad un utente che poi è stato utilizzato anch'esso come mittente e vittima. Queste liste rubate e utilizzate come obbiettivi includerebbero sia b2b che spam tra istituzioni governative. .

Emotet era inizialmente un trojan bancario, poi è stato riscritto e utilizzato come malware loader. I trojan sono tra i botnet più utilizzati e il suo ritorno era prevedibile. Non si tratta di un semplice ritorno all'attività, ma i bot infetti sono stati riorganizzati e la loro potenza è stata ottimizzata.

Comandi diversi per le vittime di diverse parti del mondo

La email che si auto notifica, solitamente come malspam, contiene come come oggetto una qualche questione finanziaria e sembra essere la riposta ad una precedente conversazione. Come ci appare ovvio dagli esempi di malspam polacchi e tedeschi, il mittente utilizza uno di questi scenari:

  • l'email parla di un avvertimento riguardo il cambio dell'indirizzo email
  • si viene informati riguardo una fattura
  • viene affermata la presenza di problemi nel pagamento di alcune tasse

Tutti questi scenari vengono utilizzati per convincere l'utente ad aprire l'allegato e abilitare i macro codici malevoli.

Dopo un'attenta analisi è stato rilevato come che una particolare variante di Emotet diffonde allegati email contenenti un avvertimento da Microsoft Office che richiedere di rinnovare la licenza o avverte che la copia di Word utilizzata dalla vittima non funzionerà più dopo il 20 Settembre. Queste tattiche servono a convincere gli utenti ad abilitare i macros così da installare Emotet sul computer.

Per le vittime Italiane l'oggetto della email sarà “Numero Fattura 2019…” Dopo averli abilitati, i macros avvieranno un comando PowerShell che utilizzerà l'URL di un sito web hackerato in cui è presente il payload malevolo. Il botnet è pronto per attaccare anche le aziende per cui tutte le compagnie dovrebbero fare attenzione perchè Emotet è tornato a in campo.

Riguardo l'autore
Gabriel E. Hall
Gabriel E. Hall - Appassionata di studi sui virus

Gabriel E. Hall è un'appassionata ricercatrice di malware che ha lavorato per senzavirus.it per quasi un decennio.

Contatta Gabriel E. Hall
Informazioni sulla compagnia Esolutions

Leggete in altri linguaggi