TA542, un gruppo di cybercriminali che distribuisce malware Emotet, ha terminato la sua pausa estiva e sta lanciando sempre più nuove campagne. Tuttavia, anche con varianti Emotet modificate.
Il gruppo TA542 è stato assente per quasi quattro mesi ed è stato visto l'ultima volta in azione nell'estate del 13 luglio 2022. Dal 2 novembre, gli specialisti della sicurezza di Proofpoint monitorano le nuove attività di TA542, soprattutto in Germania.
Punti salienti delle campagne Emotet
- TA542 utilizza varianti Emotet personalizzate nelle nuove campagne. Le modifiche (vedi sotto) riguardano i carichi utili e le esche utilizzate, nonché le modifiche ai moduli Emotet, al caricatore e al packer.
- Emotet ora fornisce anche il trojan bancario IcedID.
- Le nuove attività indicano che Emotet sta riacquistando la sua piena funzionalità come rete di distribuzione per diversi ceppi di malware.
- La botnet presenta alcune differenze fondamentali rispetto alle campagne precedenti. Ciò indica che sono coinvolti nuovi operatori o nuovi dirigenti.
- Le campagne e-mail di TA542 sono tra i leader del crimine informatico in termini di volume di e-mail. Proofpoint ha già bloccato centinaia di migliaia di messaggi al giorno.
- Il file Excel contenente il malware include le istruzioni per le potenziali vittime per copiare il file in una posizione del modello di Microsoft Office ed eseguirlo da lì. Per questo sono necessari i diritti di amministratore. Questo vale più per i computer privati che per i computer aziendali.
Le principali novità di Emotet
- Nuove esche visive per gli allegati di Excel
- Modifiche al binario Emotet
- Emotet utilizza una nuova versione del caricatore IcedID
- Oltre a IcedID, viene utilizzato il downloader di malware Bumblebee
Gli esperti di sicurezza informatica di Proofpoint prevedono che TA542 continuerà ad adattare il proprio metodo, con il potenziale per maggiori volumi di e-mail, regioni più mirate e nuove varianti o tecniche di malware collegato o collegato. Le modifiche già apportate al binario Emotet suggeriscono che anche i criminali informatici continueranno a personalizzarlo.
Emotet: gli esperti si aspettano un forte aumento
Tutto indica che Emotet riacquisterà la sua piena funzionalità come rete di distribuzione per molte delle principali famiglie di malware. Ciò che è particolarmente interessante è che Emotet si sta evolvendo. Lo osserviamo da anni e non c'è segno che smetta di funzionare. Continua a morire ea risorgere come un gatto con più di nove vite.
Altro su Proofpoint.com
A proposito di Proofpoint Proofpoint, Inc. è un'azienda leader nella sicurezza informatica. L'obiettivo di Proofpoint è la protezione dei dipendenti. Perché questi significano il capitale più grande per un'azienda, ma anche il rischio più grande. Con una suite integrata di soluzioni di sicurezza informatica basate su cloud, Proofpoint aiuta le organizzazioni di tutto il mondo a bloccare le minacce mirate, proteggere i propri dati e istruire gli utenti IT aziendali sui rischi degli attacchi informatici.