Nell’ultimo periodo si è sentito parlare spesso di Emotet, una delle più diffuse minacce informatiche. Inizialmente nasce come banking trojan evolvendosi poi fino a diventare un framework criminale per il cyber spionaggio.

L’attacco più importante risale allo scorso dicembre, quando le autorità di Francoforte furono costrette a isolare da internet la rete IT della città tedesca.

Emotet esiste dal 2014 e si ripresenta frequentemente ad intervalli con differenti tecniche e varianti.

Nel 2017, invece, è stata individuato un’importante campagna Emotet diffondersi tramite email di spam contenenti allegati PDF e file JS. Nel 2018 si è invece diffuso attraverso documenti MS Office Word contenenti macro offuscate.

Il cybercrime ora sfrutta una nuova tecnica per diffondere Emotet: rubare gli allegati presenti nelle nostre email e usarli per dare maggiore credibilità alle email di phishing.

“Non era mai successo in precedenza che una botnet utilizzasse allegati rubati agli utenti per raggiungere credibilità alle email utilizzate per diffondere se stessa e altri malware.”, dichiara James Quinn, ricercatore di sicurezza di Binary Defense.

A quanto pare, secondo Marcus Hutchins, conosciuto su Twitter con il nickname MalwareTech, la nuova funzione di Emotet sarebbe stata aggiunta recentemente, con precisione il 13 giugno.

Nonostante si sia replicato più volte, con un numero indefinito di varianti e con una serie di nomi differenti, Emotet è il virus informatico più conosciuto di tutti i tempi. Il grande picco di attività ha portato Emotet a classificarsi al primo posto in una lista dei primi 10 ceppi di malware.

Emotet ha iniziato a installare il trojan TrickBot sui computer Windows compromessi, per poi passare a diffondere il malware QakBot, sostituendo completamente i playload TrickBot.

“Emotet sembra utilizzare non solo corpi delle e-mail rubati, ma ora include anche allegati rubati“, ha affermato la società di sicurezza e-mail Cofense. “Questo rende ancora più autentiche le loro e-mail di phishing. In un esempio abbiamo trovato 5 allegati benigni e un link dropper all’interno della porzione di template dell’email“.

Tweet