Emotet, trojan bancario utilizzato dai criminali informatici, è tornato in Italia dopo una pausa di 4 mesi con una nuova campagna massiva in corso con target italiani che mira a veicolare tramite email un allegato ZIP protetto da password e contenente un XLS dotato di macro malevola.
La campagna è stata rilevata dal CERT-AgID che ha provveduto a pubblicare un avviso.
L’ultima campagna Emotet risale al 15 luglio 2022. La catena di infezione non è cambiata. Le quattro dropurl utilizzate dalla macro, parzialmente leggibili direttamente dal file XLS, puntano al download della solita DLL (64bit) Emotet che viene eseguita utilizzando il classico comando regsvr32, comunicano gli esperti del CERT-AgID.
I C2 rilevati sono 58, da un confronto a campione con le campagne precedenti quasi tutti gli IP sono già stati utilizzati nella botnet Emotet denominata Epoch4.
Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioni accreditate al flusso IoC del CERT-AgID.