I ricercatori Proofpoint segnalano la ricomparsa di uno dei più malware più noti e pericolosi: si tratta del famigerato Emotet, che da anni imperversa ad ondate ricorrenti
“Emotet è una rete di distribuzione di malware incredibilmente potente. Esiste da anni ed è uno dei più grandi attori di minacce che abbiamo monitorato per volume. Lo seguiamo con estrema attenzione per la sua persistenza e le sue tattiche innovative”, spiega Sherrod DeGrippo, Vice President, Threat Research and Detection di Proofpoint. “Non vedevamo Emotet dallo scorso luglio, ma è riemerso questo mese. Con il suo ritorno, abbiamo visto alcune variazioni: sta utilizzando nuovi allegati Excel come esche, ci sono alcuni aggiornamenti notevoli al codice binario, alcuni riferiscono che sta abbandonando un altro downloader chiamato Bumblebee. Inoltre, come abbiamo riportato in precedenza, Emotet sta rilasciando il payload del loader IcedID. Stiamo anche vedendo centinaia di migliaia di messaggi al giorno che sfruttano Emotet, compresi messaggi allegati in greco, inglese, italiano, francese e giapponese.”
“Con il riemergere di Emotet, tutti i segnali indicano che Emotet tornerà alla piena funzionalità come rete di distribuzione per molte delle principali famiglie di malware”, aggiunge Sherrod DeGrippo. “L’aspetto particolarmente interessante è che Emotet continua a operare e a evolversi. Lo vediamo da anni e non mostra segni di interruzione delle operazioni. Continua a morire e a tornare in vita come un gatto con più di sette vite”.
Emotet, overview sul temibile malware
TA542, un attore che distribuisce il malware Emotet, è tornato ancora una volta dopo una lunga pausa che l’ha visto stato assente dal panorama per quasi quattro mesi – l’ultima volta è stato visto il 13 luglio 2022 prima di fare il suo ritorno il 2 novembre scorso. Proofpoint ha monitorato i metodi di consegna, il targeting regionale ed effettuato un’analisi del malware Emotet e del payloader IcedID.
In generale, questa attività è simile alle campagne di luglio e molte tattiche osservate in precedenza rimangono invariate, anche se si registrano alcune variazioni tra cui:
- Nuove esche visive in allegato Excel
- Modifiche al binario Emotet
- Il loader IcedID distribuito è una nuova versione leggera
- Segnalazioni di distribuizione di Bumblebee in aggiunta a IcedID
Le campagne e-mail di TA542 sono già tra le principali per volume di messaggi, centinaia di migliaia al giorno sono già state bloccate da Proofpoint.
L’azienda prevede che l’attore continuerà a evolversi, con un potenziale aumento dei volumi di e-mail, un maggior numero di aree geografiche prese di mira e nuove varianti o tecniche di attacco con allegati o link. Inoltre, date le modifiche osservate al binario Emotet, è probabile che continuerà ad adattarsi.
Distribuzione
Proofpoint continua a rilevare un volume significativo di hijacking dei thread e localizzazione linguistica delle e-mail. L’attore utilizza esche generiche, ha sfruttato per poco tempo il tema IRS l’8 novembre, che potrebbe corrispondere agli obblighi fiscali trimestrali delle aziende statunitensi. Sebbene non siano ancora state osservate altre esche legate ad attualità e festività, è probabile che vengano utilizzate presto.
Nel momento della pubblicazione di questo blog, Proofpoint ha osservato campagne in quasi tutti i giorni feriali dal 2 novembre, più precisamente nelle seguenti date: 2, 3, 4, 7, 8, 9, 10 e 11. Tuttavia, dopo questa finestra di tempo, l’attività di Emotet si è interrotta, ma Proofpoint prevede che TA542 tornerà presto.
Paesi colpiti
L’attore continua a prendere di mira una serie di paesi simili a quelli colpiti prima dell’interruzione. Proofpoint ha osservato costantemente il targeting con elevati volumi di e-mail di vari paesi, tra cui, Stati Uniti, Regno Unito, Giappone, Germania, Italia, Francia, Spagna, Messico, Brasile. Per questi esempi elencati, Proofpoint ha confermato il targeting non solo in base all’ubicazione dei destinatari, ma anche attraverso l’uso appropriato della lingua locale nei corpi e negli oggetti delle e-mail e nei nomi dei file.