ESET ha pubblicato un resoconto dei movimenti della botnet Emotet da quando è tornata in auge dopo essere stata circoscritta nel 2021. Emotet è una famiglia di malware attiva dal 2014, gestita da un gruppo di criminali informatici noto come Mealybug o TA542.
Sebbene sia nato come trojan bancario, si è poi evoluto in una botnet che è diventata una delle minacce più diffuse a livello mondiale. Nel gennaio 2021, il fenomeno è stato oggetto di un’eliminazione parziale grazie all’impegno e alla collaborazione internazionale di otto Paesi, coordinati da Eurojust ed Europol.
Emotet ha ripreso le attività nel novembre 2021 e ha lanciato diverse campagne di spam, per poi fermarsi bruscamente nell’aprile 2023. Nelle ultime campagne del 2022-2023, la maggior parte degli attacchi rilevati da ESET erano rivolti a Giappone (quasi la metà), Italia, Spagna, Messico e Sudafrica.
Dal 2021 al 2023: cronaca di un susseguirsi di eventi
“Emotet si diffonde tramite e-mail di spam. Può esfiltrare informazioni da computer compromessi e distribuire malware di terze parti. Gli operatori di Emotet non pongono particolare attenzione agli obiettivi, installando il malware su sistemi appartenenti a singoli individui, aziende e grandi organizzazioni“, spiega Jakub Kaloč, ricercatore ESET che ha lavorato all’analisi.
Dalla fine del 2021 alla metà del 2022, Emotet è stato diffuso principalmente attraverso documenti MS Word e MS Excel con macro VBA incorporate. Nel luglio 2022, Microsoft ha cambiato le carte in tavola per tutte le famiglie di malware come Emotet e Qbot – che avevano utilizzato come metodo di distribuzione e-mail di phishing con file dannosi – disabilitando le macro VBA nei documenti ottenuti da Internet.
“La disattivazione (da parte delle autorità) del principale vettore di attacco di Emotet ha spinto i suoi operatori a cercare nuovi modi per compromettere i loro obiettivi. Mealybug ha iniziato a sperimentare con file LNK e XLL maligni. Tuttavia, al termine del 2022, gli operatori di Emotet hanno faticato a trovare un nuovo vettore di attacco che fosse efficace quanto le macro VBA. Nel 2023, hanno condotto tre campagne di malspam distinte, ognuna delle quali ha testato una via di intrusione e una tecnica di social engineering leggermente diversa“, spiega Kaloč. “La riduzione delle dimensioni degli attacchi e i continui cambiamenti nell’approccio ci portano a pensare che i risultati ottenuti non siano stati soddisfacenti“.
Con la ricomparsa anche diversi aggiornamenti
In seguito, Emotet ha inserito un’esca in MS OneNote e, nonostante gli avvertimenti che questa azione potesse portare a contenuti maligni, le persone tendevano ad interagire con essa.
Dopo la sua ricomparsa, ha ricevuto diversi aggiornamenti. Tra le caratteristiche degne di nota, la modifica dello schema crittografico e l’implementazione di nuove tecniche di copertura per proteggere i moduli della botnet. Gli operatori di Emotet hanno investito sforzi significativi per evitare il monitoraggio e il tracciamento. Inoltre, hanno implementato diversi nuovi moduli e migliorato quelli esistenti per rimanere operativi.
Emotet si diffonde tramite e-mail di spam, spesso ritenute affidabili, perché utilizzano con successo la tecnica del thread hijacking. Prima del blocco, Emotet utilizzava i moduli denominati Outlook Contact Stealer e Outlook Email Stealer per appropriarsi delle e-mail e delle informazioni di contatto di Outlook. Tuttavia, poiché non tutti utilizzano Outlook, dopo il takedown, Emotet si è concentrato anche su un’applicazione di posta elettronica alternativa gratuita, Thunderbird. Inoltre, ha iniziato a utilizzare Google Chrome Credit Card Steale, per trafugare i dati delle carte di credito memorizzate nel browser Google Chrome.
Secondo le ricerche e la telemetria di ESET, le botnet di Emotet sono silenti dall’inizio di aprile 2023, molto probabilmente a causa dell’individuazione di un nuovo vettore di attacco efficace. La maggior parte degli attacchi rilevati da ESET da gennaio 2022 a oggi ha avuto come obiettivo il Giappone (43%), l’Italia (13%), la Spagna (5%), il Messico (5%) e il Sudafrica (4%).
Per ulteriori informazioni tecniche su Emotet, consultare il blogpost “What’s up with Emotet – A brief summary of what happened with Emotet since its comeback” su WeLiveSecurity.