Il trojan bancario Emotet è tornato alla ribalta con una nuova variante: la sua botnet ora presenta un modulo specificamente pensato per raccogliere informazioni sulle carte di credito memorizzate nei profili degli utenti di Google Chrome. Considerando che molti utenti per comodità salvano i dati come il numero della carta di credito e il codice CVC/CVV all’interno di Google Chrome, questa nuova variante rappresenta un pericolo quanto mai concreto.
La scoperta di questo nuovo modulo Emotet attribuito alla botnet Epoch 4 risale al 6 giugno scorso a opera dei ricercatori del team Proofpoint Threat Insights subito dopo le evidenze rilevate contemporaneamente anche da altri gruppi di ricerca circa l’aumento registrato delle attività Emotet e il passaggio a moduli a 64 bit.
I ricercatori spiegano che il malware, dopo aver rubato le informazioni sulla carta di credito (nome, mese e anno di scadenza, numeri di carta), li invierebbe a server di comando e controllo C2 diversi da quelli utilizzati dallo stesso modulo Emotet per rubare le carte.
“Con nostra grande sorpresa si trattava di un modulo pensato per sottrarre i dati delle carte di credito che prendeva di mira esclusivamente il browser Chrome. Una volta raccolti i dati della carta, questi venivano esfiltrati su server C2 differenti da quelli del loader”, hanno comunicato i ricercatori in un post.
Emotet attivo almeno dal 2014, la cui botnet è gestita da un attore di minacce identificato come TA542, è stato utilizzato negli anni per distribuire altri codici malevoli come i trojan Trickbot e QBot e i ransomware Conti, ProLock, Ryuk ed Egregor. Dal mese di novembre 2021, dopo la sua temporanea scomparsa dal panorama delle minacce, è riemerso a più riprese colpendo in diverse aree geografiche con decine di migliaia di messaggi malspam fino ad arrivare a un apparente arresto di attività nel mese di aprile.
Come riportato anche dagli analisti della società di sicurezza ESET, a seguito del ritorno della botnet Emotet si è assistito a un massiccio aumento dell’attività dall’inizio del 2022, con un incremento di oltre l’11% rispetto all’ultimo trimestre del 2021, prendendo di mira principalmente il Giappone, l’Italia e il Messico. Inoltre, durante la cosiddetta “Vacanza di Primavera” (tra il 4 aprile 2022 e il 19 aprile 2022) gli operatori dietro Emotet hanno iniziato a testare nuove tecniche di attacco malspam a basso volume in risposta alla decisione di Microsoft di disabilitare le macro di Visual Basic for Applications (VBA) per impostazione predefinita nonché a utilizzare file di collegamento di Windows (.LNK) per eseguire comandi PowerShell e infettare i dispositivi delle vittime.
Non solo. Ora si è anche scoperta una nuova vulnerabilità che potrebbe permettere a Emotet di rubare cookie di sessione e credenziali di testo in chiaro direttamente dalla memoria nei browser basati su Chromium consentendo potenzialmente a un utente malintenzionato di estrarre le informazioni e utilizzarle per dirottare gli account anche degli utenti protetti dall’autenticazione a due fattori.
Come affermato dagli esperti di Kroll in una loro pubblicazione Emotet non è certo morto: “Sebbene indubbiamente ferito dall’interruzione dell’anno scorso, Emotet non è certo morto. Valutiamo che gli sviluppatori di Emotet probabilmente continueranno a sperimentare nuove catene di infezione a questa cadenza aumentata. Valutiamo inoltre che gli operatori di Emotet andranno avanti con grandi campagne di spam al fine di ricostruire la botnet, consentendo loro così di vendere l’accesso iniziale guadagnato per avere un ritorno economico sul loro investimento”.
Gli esperti consigliano agli amministratori di rete e ai professionisti del settore di tenere aggiornarti i propri apparati di sicurezza con gli IoC che vengono periodicamente pubblicati dalla comunità cyber per arginare l’attività della botnet. Inoltre, segnalano due validi strumenti gratuiti Emocheck e HaveibeenEmotet molto utili per verificare se indirizzi e-mail o domini siano coinvolti nel malspam di Emotet e se è in corso una possibile infezione sui propri dispostivi.
Nel frattempo, il CERT-AgID ha confermato nel suo ultimo bollettino, per la terza settimana consecutiva, Emotet come il malware più diffuso in Italia.