Emotet attacca di nuovo

Emotet, uno dei botnet più comuni a livello mondiale, è tornato all’attacco dopo un breve rallentamento. ESET Research ha pubblicato un quadro dettagliato sulla diffusione di Emotet e delle sue ultime attività.

Cos’è Emotet?

Emotet, una famiglia di malware in attività dal 2014, è operato da un gruppo di hacker noto come Mealybug o TA542. Inizialmente, Emotet era solo un trojan bancario, ma con il tempo è andato evolvendo fino a diventare un botnet che rappresenta una delle principali minacce a livello mondiale.

Nel gennaio 2021, le autorità hanno compiuto uno smantellamento parziale di Emotet grazie alla collaborazione di 8 paesi, azione coordinata da Eurojust e Europol. Tuttavia, Emotet è tornato in vita lo scorso novembre 2021 e da quel momento ha portato a compimento diverse campagne di spam.

Secondo i dati di ESET, delle ultime campagne, avvenute tra il 2022 e il 2023, si è osservato che la maggior parte degli attacchi è andata a danno del Giappone, con quasi la metà del totale, Italia, Spagna, Messico e Sudafrica.

Come si sta diffondendo?

Nel periodo compreso tra fine 2021 e metà 2022, Emotet si è diffuso principalmente con file infetti di MS Word e MS Excel con macro VBA incorporate. Tuttavia, nel luglio 2022 Microsoft ha apportato alcune modifiche importanti, disattivando le macro VBA nei documenti scaricati da internet, il che ha colpito direttamente Emotet e altre famiglie di malware che utilizzano questa tecnica di distribuzione.

Nonostante questi ostacoli, Emotet ha trovato nuovi modi per diffondersi. Nel tentativo di evadere questi rilevamenti, il malware si era insediato su MS OneNote, applicazione di presa d’appunti nota. Nonostante i molti avvisi di rischio potenziale disponibili in circolazione, tanti utenti hanno fatto clic sui link che hanno aperto la porta al malware.

Cambiamenti a livello di assetto crittografico

Gli hacker dietro Emotet hanno apportato aggiornamenti importanti al malware, modificandone l’assetto crittografico e aggiungendo diversi layer di offuscazione per proteggerne i moduli. Hanno investito tempo ed energie per evadere la vigilanza e restare operativi: hanno implementato nuovi moduli e hanno migliorato quelli esistenti per garantire la massima profittabilità.

La tecnica principale utilizzata da Emotet per diffondersi è la via della posta elettronica. Emotet sfrutta la fiducia che gli utenti nutrono per email apparentemente legittime per poi diffondersi. Prima dello smantellamento, Emotet utilizzava moduli chiamati “Outlook Contact Stealer” e “Outlook Email Stealer” per rubare indirizzi e-mail e contatti da Outlook.

Tuttavia, dal momento della sua ricomparsa, Emotet è cambiato e ha iniziato ad attaccare un’applicazione di email alternativa e gratuita chiamata Thunderbird. Per di più, ha aggiunto il modulo “Google Chrome Credit Card Stealer” per rubare le informazioni di carte di credito salvate sul motore di ricerca.

Paesi più colpiti dai botnet

Secondo la ricerca condotta da ESET, le attività dei botnet Emotet sono state relativamente tranquille da aprile 2023. Si pensa questo possa essere dovuto alla scoperta di un nuovo vettore infettivo da parte degli operatori di Emotet. Nel periodo compreso tra gennaio 2022 e adesso, ESET ha osservato che la maggior parte degli attacchi sono stati condotti ai danni del Giappone (43%) e seguono Italia (13%), Spagna (5%), Messico (5%) e Sudafrica (4%).