A oltre 160 giorni di distanza dall’ultima individuazione di Emotet via email, i ricercatori Proofpoint hanno confermato il suo ritorno. Noto per essere una minaccia versatile e potenzialmente devastante, le prime versioni di Emotet presentavano un modulo che veniva utilizzato a scopo di frodi bancarie, motivo per cui per anni il malware è stato classificato come un Trojan bancario. Tuttavia, le versioni successive di Emotet non caricavano più il proprio modulo bancario ma caricavano invece malware bancario di terze parti.
Più recentemente, abbiamo osservato che Emotet portava payload di terze parti come Qbot, The Trick, IcedID e Gootkit. Inoltre, Emotet porta con sè suoi moduli per spamming, furto di credenziali, raccolta di email e la diffusione sulle reti locali.
A oggi, Proofpoint ha rilevato quasi 250.000 messaggi Emotet inviati il 17 luglio 2020, con un numero continua a salire. L’attore della minaccia, TA542, sembra aver preso di mira diversi settori verticali negli Stati Uniti e nel Regno Unito con esche in lingua inglese. Questi messaggi contengono allegati maligni di Microsoft Word o URL che collegano a documenti Word.
Gli URL puntano spesso a host WordPress compromessi.
Come nel caso di esche osservate in precedenza, sono semplici, con una personalizzazione minima. Oggetti come “RE:”, “Fattura:” seguita da falso un numero di fattura sono molto comuni, e spesso includono il nome dell’organizzazione presa di mira.
Come riferito in una nota ufficiale da Sherrod DeGrippo, Senior Director, Threat Research and Detection di Proofpoint: «Emotet è noto per essere potenzialmente devastante, ed è significativo che sia tornato a farsi vedere. L’attore associato, TA542, tende a utilizzare la sua estesa infrastruttura per testare il successo e la scala della campagna a seconda di ciò che funziona. Detto questo, la campagna di oggi è una campagna di grande volume e non sembra essere un test, ma non è nemmeno del tutto nuova. Emotet è stato assente per 161 giorni ed è tornato come se nulla fosse successo. Le esche non sono nuove o insolite e non fanno leva su eventi attuali come COVID-19 o temi pandemici. Usano anche la stessa botnet. Continueremo a monitorare questo attore e vedremo come Emotet cambierà le sue modalità di azione sulla base di questo recente ritorno».