A oltre 160 giorni di distanza dall’ultima individuazione di Emotet via email, i ricercatori Proofpoint hanno confermato il suo ritorno.
Noto per essere una minaccia versatile e potenzialmente devastante, le prime versioni di Emotet presentavano un modulo che veniva utilizzato a scopo di frodi bancarie, motivo per cui per anni il malware è stato classificato come un Trojan bancario. Tuttavia, le versioni successive di Emotet non caricavano più il proprio modulo bancario ma caricavano invece malware bancario di terze parti. Più recentemente, Proofpoint ha osservato che Emotet portava payload di terze parti come Qbot, The Trick, IcedID e Gootkit. Inoltre, Emotet porta con sè suoi moduli per spamming, furto di credenziali, raccolta di email e la diffusione sulle reti locali.
A oggi, Proofpoint ha rilevato quasi 250000 messaggi Emotet inviati il 17 luglio 2020, con un numero che continua a salire. L’attore della minaccia, TA542, sembra aver preso di mira diversi settori verticali negli Stati Uniti e nel Regno Unito con esche in lingua inglese. Questi messaggi contengono allegati maligni di Microsoft Word o URL che collegano a documenti Word (Figure 1-3). Gli URL puntano spesso a host WordPress compromessi.
Come nel caso di esche osservate in precedenza, sono semplici, con una personalizzazione minima. Oggetti come “RE:”, “Fattura:” seguita da falso un numero di fattura sono molto comuni, e spesso includono il nome dell’organizzazione presa di mira.
Sherrod DeGrippo, Senior Director, Threat Research and Detection di Proofpoint, ha rilevato che Emotet è noto per essere potenzialmente devastante, ed è significativo che sia tornato a farsi vedere. L’attore associato, TA542, tende a utilizzare la sua estesa infrastruttura per testare il successo e la scala della campagna a seconda di ciò che funziona. La campagna individuata è di grande volume e non sembra essere un test, ma non è nemmeno del tutto nuova. Emotet è stato assente per 161 giorni ed è tornato come se nulla fosse successo. Le esche non sono nuove o insolite e non fanno leva su eventi attuali come COVID-19 o temi pandemici. Usano anche la stessa botnet. Per questo, conclude DeGrippo, Proofpoint continuerà a monitorare questo attore e verificherà come Emotet cambierà le sue modalità di azione sulla base di questo recente ritorno.
