Dopo 5 mesi di assenza dall’ultima individuazione di Emotet via email, il malware torna a colpire secondo i ricercatori di Proofpoint. Noto come una minaccia versatile e potenzialmente devastante, le prime versioni di Emotet presentavano un modulo utilizzato per effettuare frodi bancarie, ragione per cui per anni il malware è stato classificato come un Trojan bancario. Le versioni successive di Emotet, tuttavia, non caricavano più il proprio modulo bancario bensì un malware bancario di terze parti. Di recente, gli esperti di Proofpoint hanno osservato che Emotet portava payload di terze parti come Qbot, The Trick, IcedID e Gootkit, inclusi moduli per spamming, furto di credenziali, raccolta di email e la diffusione sulle reti locali.
“A oggi, Proofpoint ha rilevato quasi 250.000 messaggi Emotet inviati il 17 luglio 2020, con un numero che continua a salire. L’attore della minaccia, TA542, sembra aver preso di mira diversi settori verticali negli Stati Uniti e nel Regno Unito con esche in lingua inglese. Questi messaggi contengono allegati maligni di Microsoft Word o URL che collegano a documenti Word (Figure 1-3). Gli URL puntano spesso a host WordPress compromessi”.
Si tratta di esche semplici, con una personalizzazione minima. Oggetti come “RE:”, “Fattura:” seguita da falso un numero di fattura sono molto comuni, inclusi spesso i nomi delle organizzazioni prese di mira.
“Emotet è noto per essere potenzialmente devastante, ed è significativo che sia tornato a farsi vedere. L’attore associato, TA542, tende a utilizzare la sua estesa infrastruttura per testare il successo e la scala della campagna a seconda di ciò che funziona. Detto questo, la campagna di oggi è una campagna di grande volume e non sembra essere un test, ma non è nemmeno del tutto nuova. Emotet è stato assente per 161 giorni ed è tornato come se nulla fosse successo. Le esche non sono nuove o insolite e non fanno leva su eventi attuali come COVID-19 o temi pandemici. Usano anche la stessa botnet. Continueremo a monitorare questo attore e vedremo come Emotet cambierà le sue modalità di azione sulla base di questo recente ritorno”, ha commentato Sherrod DeGrippo, Senior Director, Threat Research and Detection di Proofpoint.
https://udite-udite.it/2020/07/proofpoint-emotet-torna-a-colpire/