Emotet è una famiglia di trojan bancari caratterizzata da un’architettura modulare, tecniche di persistenza avanzate e capacità di diffusione automatica simile a quello dei worm. Solitamente viene distribuito attraverso campagne di Email fraudolente che utilizzano tecniche di social engineering per rendere plausibile e quindi maggiormente ingannevole il contenuto dei messaggi, così da indurre le vittime a scaricare ed aprire gli allegati malevoli.
Emotet viene spesso utilizzato come downloader o dropper di altri malware, tra cui i trojan bancari TrickBot, Zeus Panda e IcedID e, in tempi più recenti, anche ransomware (UmbreCrypt). A causa del suo elevato potenziale distruttivo, Emotet è stato oggetto di un bollettino di sicurezza dello US-CERT a luglio del 2018.
I ricercatori di sicurezza di ESET hanno analizzato una nuova campagna di diffusione su larga scala di Emotet iniziata dopo un periodo di scarsa attività. Poco tempo fa è stata identificata una variante di questo malware dotata di un nuovo modulo per il furto di credenziali e indirizzi Email.
Stando a quanto riportato dai ricercatori di ESET, la distribuzione di questa questa campagna interessa prevalentemente gli Stati Uniti, il Messico, diversi stati sudamericani, il Regno Unito, la Turchia e il Sudafrica. Dal contenuto delle Email si evince che i bersagli di questa campagna sono prevalentemente utenti di lingua inglese e tedesca.
Emotet utilizza allegati Microsoft Word e PDF malevoli che si presentano come fatture, notifiche di pagamento, avvisi relativi a conti bancari, apparentemente provenienti da aziende ed enti legittimi e familiari. In alternativa ai file allegati, le Email possono contenere collegamenti a file remoti pericolosi.
L’infezione inizia quando la vittima apre l’allegato, abilita le macro in Word seguendo le istruzioni nel documento o fa clic sul collegamento all’interno del file PDF. A questo punto viene installato e avviato il payload di Emotet, che stabilisce la persistenza sul computer e segnala il successo delle sue attività al proprio server C&C, da cui riceve le istruzioni in merito a quali moduli di attacco e payload secondarie scaricare.
I moduli aumentano le capacità di Emotet consentendogli di aggiungere funzionalità come il furto di credenziali, la diffusione sulla rete, la raccolta di informazioni sensibili, il port forwarding e altre ancora. Questo recente picco nell’attività di Emotet dimostra come questo trojan continui ad essere una minaccia attiva e in continua evoluzione.
Nel post originale sul blog di ESET Italia è disponibile un’analisi più dettagliata di questa minaccia, assieme a diversi indicatori di compromissione (IoC).
Come sempre, si raccomanda agli utenti di esercitare estrema cautela riguardo Email di provenienza sospetta, di non aprire mai gli allegati e soprattutto di non abilitare mai l’esecuzione delle macro in documenti di Microsoft Office, anche all’apparenza legittimi.