ESET: analisi sulla diffusione della botnet Emotet
-
- Tweet
- Pin It
- Condividi per email
-
ESET ha pubblicato un’analisi dei movimenti della botnet Emotet, una famiglia di malware attiva dal 2014, circoscritta nel 2021 grazie all’impegno e alla collaborazione internazionale di otto Paesi, ma tornata in auge.
Emotet è gestita da un gruppo di criminali informatici noto come Mealybug o TA542 e, nelle ultime campagne del 2022-2023, la maggior parte degli attacchi rilevati da ESET sono stati rivolti a Giappone (quasi la metà), Italia, Spagna, Messico e Sudafrica.
“Emotet si diffonde tramite e-mail di spam. Può esfiltrare informazioni da computer compromessi e distribuire malware di terze parti. Gli operatori di Emotet non pongono particolare attenzione agli obiettivi, installando il malware su sistemi appartenenti a singoli individui, aziende e grandi organizzazioni”, ha spiegato Jakub Kaloč, ricercatore ESET che ha lavorato all’analisi.
Nel periodo compreso dalla fine del 2021 alla metà del 2022, Emotet è stato diffuso principalmente attraverso documenti MS Word e MS Excel con macro VBA incorporate. Nel luglio 2022 però Microsoft ha disabilitato le macro VBA nei documenti ottenuti da Internet.
“La disattivazione (da parte delle autorità) del principale vettore di attacco di Emotet ha spinto i suoi operatori a cercare nuovi modi per compromettere i loro obiettivi. Mealybug ha iniziato a sperimentare con file LNK e XLL maligni. Tuttavia, al termine del 2022, gli operatori di Emotet hanno faticato a trovare un nuovo vettore di attacco che fosse efficace quanto le macro VBA. Nel 2023, hanno condotto tre campagne di malspam distinte, ognuna delle quali ha testato una via di intrusione e una tecnica di social engineering leggermente diversa”, ha spiegato Kaloč. “La riduzione delle dimensioni degli attacchi e i continui cambiamenti nell’approccio ci portano a pensare che i risultati ottenuti non siano stati soddisfacenti”.
In seguito, Emotet ha inserito un’esca in MS OneNote e, nonostante gli avvertimenti che questa azione potesse portare a contenuti maligni, le persone tendevano ad interagire con essa.
Dopo la sua ricomparsa, ha ricevuto diversi aggiornamenti. Tra le caratteristiche degne di nota, la modifica dello schema crittografico e l’implementazione di nuove tecniche di copertura per proteggere i moduli della botnet. Gli operatori di Emotet hanno investito sforzi significativi per evitare il monitoraggio e il tracciamento. Inoltre, hanno implementato diversi nuovi moduli e migliorato quelli esistenti per rimanere operativi.
Emotet si diffonde tramite e-mail di spam, spesso ritenute affidabili, perché utilizzano con successo la tecnica del thread hijacking. Prima del blocco, Emotet utilizzava i moduli denominati Outlook Contact Stealer e Outlook Email Stealer per appropriarsi delle e-mail e delle informazioni di contatto di Outlook. Tuttavia, poiché non tutti utilizzano Outlook, dopo il takedown, Emotet si è concentrato anche su un’applicazione di posta elettronica alternativa gratuita, Thunderbird. Inoltre, ha iniziato a utilizzare Google Chrome Credit Card Steale, per trafugare i dati delle carte di credito memorizzate nel browser Google Chrome.
Secondo le ricerche e la telemetria di ESET, le botnet di Emotet sono silenti dall’inizio di aprile 2023, molto probabilmente a causa dell’individuazione di un nuovo vettore di attacco efficace.
Contenuti correlati
-
Proofpoint: il ritorno del malware QbotIl malware QakBot, noto anche come Qbot, è stato nuovamente identificato in campagne di phishing, dopo essere stato bloccato dalle forze dell’ordine durante l’estate. Lo scorso agosto, un’operazione multinazionale delle forze dell’ordine chiamata Operation Duck Hunt ha...
-
Falsi aggiornamenti del browser per distribuire malwareProofpoint sta controllando almeno quattro cluster di minacce distinte che si basano su falsi aggiornamenti del browser per distribuire malware. Questi falsi update si riferiscono a siti web compromessi che mostrano quella che sembra essere una notifica...
-
Proofpoint: nuova campagna di TA544I ricercatori di Proofpoint segnalano una nuova campagna di TA544 rivolta agli utenti italiani, che distribuisce il malware Ursnif. Questo gruppo ha già distribuito il malware bancario in campagne ad alto volume per diversi anni. Proofpoint ha...
-
ESET: app spia del gruppo filo cinese GREF si spacciano per Signal e TelegramI ricercatori di ESET hanno comunicato di aver scoperto due campagne attive, rivolte agli utenti Android di Telegram e Signal, riconducibili al gruppo APT GREF allineato alla Cina. ESET precisa che con molta probabilità queste minacce sono...
-
L’evoluzione del malware vista da Palo Alto NetworksUnit 42, il threat intelligence team di Palo Alto Networks, ha pubblicato il secondo volume del suo Network Threat Trends Research Report in cui sono evidenziati i principali trend che impattano sulla cybersecurity: in primo piano l’uso...
-
ESET nomina Mária Trnková Chief Marketing OfficerESET ha costituito la nuova divisione Marketing, Communication e Digital Business, con la nomina di Mária Trnková a Chief Marketing Officer. La nuova divisione -sottolinea l’azienda- potenzierà il supporto marketing di ESET in tutti i segmenti, rafforzerà...
-
COSMICENERGY: un nuovo malware scoperto da MandiantMandiant ha identificato un nuovo malware specializzato per i sistemi OT, chiamato COSMICENERGY. In base alla ricerca effettuata sulla minaccia, Mandiant ritiene che questo malware sia stato progettato per causare interruzioni dell’energia elettrica, interagendo con le unità...
-
CloudMensis: una nuova minaccia scoperta da ESETCloudMensis è il nome di una nuova minaccia per attacchi mirati a utenti Mac scoperta dai ricercatori di ESET. Si tratta di una backdoor, precedentemente sconosciuta, che spia gli utenti di Mac compromessi e utilizza esclusivamente servizi...
-
ESET: il malware Hodur sfrutta la guerra in UcrainaLa guerra in Ucraina e altri temi di cronaca europea sono gli argomenti sfruttati da una campagna di cyberspionaggio – risalente ad agosto 2021 e ancora in corso – scoperta dai ricercatori di ESET. La campagna utilizza...
-
ESET interrompe tutte le nuove vendite in RussiaESET, in risposta alla sconcertante decisione del governo russo di invadere l’Ucraina, ha avviato molteplici attività a supporto della popolazione e del partner ucraino. La prima è stata l’annuncio dell’interruzione di tutte le nuove vendite a qualsiasi...
Scopri le novità scelte per te
-
Proofpoint: il ritorno del malware Qbot
Il malware QakBot, noto anche come Qbot, è stato nuovamente identificato in campagne di phishing, dopo essere...
-
Falsi aggiornamenti del browser per distribuire malware
Proofpoint sta controllando almeno quattro cluster di minacce distinte che si basano su falsi aggiornamenti del browser...
News/Analysis Tutti ▶
-
RECOM: alimentatori AC/DC da 15W formato open frame e DIN railRECOM ha aggiunto alla sua offerta una nuova gamma di alimentatori AC/DC. La serie...
-
Accordo di distribuzione tra TTI Europe e Chemi-ConTTI IP&E – Europe ha annunciato la firma di un accordo di distribuzione autorizzato...
-
Le prestazioni di Mouser Electronics premiate dai produttori partnerMouser Electronics ha annunciato di aver ricevuto 25 riconoscimenti dai propri produttori partner per...
Products Tutti ▶
-
I nuovi convertitori buck DC-DC da 400 a 750W di TDK-LambdaTDK Corporation ha aggiunto alla gamma di convertitori DC-DC TDK-Lambda la serie RGB composta...
-
RECOM: alimentatori AC/DC da 15W formato open frame e DIN rail
RECOM ha aggiunto alla sua offerta una nuova gamma di alimentatori AC/DC. La serie...
-
Nuovo relè PCB per wallbox da OmronOmron Electronic Components Europe ha realizzato un nuovo relè PCB ad alta potenza destinato...
