Nel 2021, la rete attorno a Emotet è stata interrotta. Ma ciò non significa che Emotet sia completamente scomparso dal web. Al contrario: ci sono sempre segnali che il gruppo attorno a Emotet sia alla ricerca di nuove vie di attacco.
Dal suo ritorno, Emotet è apparso in diverse campagne di spam. Mealybug, il gruppo di hacker dietro la botnet, ha sviluppato numerosi nuovi moduli e rivisto quelli esistenti. Le menti dietro Emotet hanno imparato molto dalla rimozione di due anni fa e hanno investito molto tempo per impedire che la loro botnet venisse scoperta.
L'infrastruttura di Emotet è morta, il malware vive
Nella sua ultima operazione sono stati attaccati obiettivi in Italia, Spagna, Giappone, Messico e Sud Africa. Da aprile 2023 le attività di Emotet sono sospese. I ricercatori ESET sospettano che gli hacker stiano cercando nuovi vettori di attacco.
“Emotet si diffonde tramite e-mail di spam. Il malware può rubare informazioni sensibili da computer compromessi e iniettarvi malware di terze parti. Gli operatori di Emotet non sono molto esigenti riguardo ai loro obiettivi. Installano il loro malware sui sistemi di individui, aziende e organizzazioni più grandi", afferma il ricercatore ESET Jakub Kaloč, che ha contribuito all'analisi.
Emotet doveva trovare un nuovo vettore di attacco
Dalla fine del 2021 alla metà del 2022, Emotet si è diffuso principalmente tramite macro VBA nei documenti Microsoft Word ed Excel. Nel luglio 2022, Microsoft ha cambiato il gioco per tutte le famiglie di malware come Emotet e Qbot, che avevano utilizzato e-mail di phishing con documenti dannosi come metodo di propagazione, disabilitando le macro VBA nei documenti estratti da Internet.
“L'arresto del principale vettore di attacco di Emotet ha spinto i suoi operatori a cercare nuovi modi per compromettere i propri obiettivi. Mealybug ha iniziato a sperimentare file LNK e XLL dannosi. Tuttavia, mentre il 2022 volgeva al termine, gli operatori di Emotet hanno faticato a trovare un nuovo vettore di attacco efficace quanto le macro VBA. Nel 2023, hanno condotto tre diverse campagne di malspam, ciascuna testando un percorso di intrusione leggermente diverso e una diversa tecnica di ingegneria sociale", spiega Kaloč. "Tuttavia, la portata sempre più ridotta degli attacchi e i continui cambiamenti di approccio possono indicare insoddisfazione per i risultati." Emotet in seguito incorporò un'esca in Microsoft OneNote. Nonostante gli avvertimenti all'apertura che questa azione potrebbe causare contenuti dannosi, gli utenti hanno fatto clic su di essa.
I criminali continuano a sviluppare Emotet
Dopo la sua ricomparsa, Emotet ha ricevuto diversi aggiornamenti. Le caratteristiche più notevoli sono state che la botnet ha cambiato il suo schema crittografico e ha implementato diversi nuovi offuscamenti per proteggere i suoi moduli. Dal loro ritorno, gli operatori di Emotet hanno compiuto sforzi significativi per impedire che la loro botnet venisse monitorata e tracciata. Inoltre, hanno implementato diversi nuovi moduli e migliorato i moduli esistenti per rimanere redditizi.
Emotet viene distribuito tramite e-mail di spam. Le persone spesso si fidano di questi messaggi perché i criminali utilizzano con successo tecniche speciali per dirottare le cronologie delle conversazioni nelle e-mail. Prima della rimozione, Emotet utilizzava moduli che chiamiamo Outlook Contact Stealer e Outlook Email Stealer, che erano in grado di rubare e-mail e informazioni di contatto da Outlook. Tuttavia, poiché non tutti utilizzano Outlook, dopo il ritorno di Emotet si è concentrato anche su un'applicazione di posta elettronica alternativa gratuita: Thunderbird. Inoltre, ha iniziato a utilizzare il modulo Google Chrome Credit Card Stealer, che ruba i dati della carta di credito memorizzati nel browser Google Chrome.
Secondo la telemetria ESET e l'impressione dei ricercatori, le botnet Emotet sono silenziose dall'inizio di aprile 2023. Ciò è probabilmente dovuto alla ricerca di un nuovo vettore di attacco efficace. Giappone (2022%), Italia (43%), Spagna (13%), Messico (5%) e Sud Africa (5%) sono stati presi di mira per la maggior parte degli attacchi rilevati da ESET dal gennaio 4 ad oggi.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.