ESET ha pubblicato un’analisi dei movimenti della botnet Emotet, una famiglia di malware attiva dal 2014, circoscritta nel 2021 grazie all’impegno e alla collaborazione internazionale di otto Paesi, ma tornata in auge.
Emotet è gestita da un gruppo di criminali informatici noto come Mealybug o TA542 e, nelle ultime campagne del 2022-2023, la maggior parte degli attacchi rilevati da ESET sono stati rivolti a Giappone (quasi la metà), Italia, Spagna, Messico e Sudafrica.
“Emotet si diffonde tramite e-mail di spam. Può esfiltrare informazioni da computer compromessi e distribuire malware di terze parti. Gli operatori di Emotet non pongono particolare attenzione agli obiettivi, installando il malware su sistemi appartenenti a singoli individui, aziende e grandi organizzazioni”, ha spiegato Jakub Kaloč, ricercatore ESET che ha lavorato all’analisi.
Nel periodo compreso dalla fine del 2021 alla metà del 2022, Emotet è stato diffuso principalmente attraverso documenti MS Word e MS Excel con macro VBA incorporate. Nel luglio 2022 però Microsoft ha disabilitato le macro VBA nei documenti ottenuti da Internet.
“La disattivazione (da parte delle autorità) del principale vettore di attacco di Emotet ha spinto i suoi operatori a cercare nuovi modi per compromettere i loro obiettivi. Mealybug ha iniziato a sperimentare con file LNK e XLL maligni. Tuttavia, al termine del 2022, gli operatori di Emotet hanno faticato a trovare un nuovo vettore di attacco che fosse efficace quanto le macro VBA. Nel 2023, hanno condotto tre campagne di malspam distinte, ognuna delle quali ha testato una via di intrusione e una tecnica di social engineering leggermente diversa”, ha spiegato Kaloč. “La riduzione delle dimensioni degli attacchi e i continui cambiamenti nell’approccio ci portano a pensare che i risultati ottenuti non siano stati soddisfacenti”.
In seguito, Emotet ha inserito un’esca in MS OneNote e, nonostante gli avvertimenti che questa azione potesse portare a contenuti maligni, le persone tendevano ad interagire con essa.
Dopo la sua ricomparsa, ha ricevuto diversi aggiornamenti. Tra le caratteristiche degne di nota, la modifica dello schema crittografico e l’implementazione di nuove tecniche di copertura per proteggere i moduli della botnet. Gli operatori di Emotet hanno investito sforzi significativi per evitare il monitoraggio e il tracciamento. Inoltre, hanno implementato diversi nuovi moduli e migliorato quelli esistenti per rimanere operativi.
Emotet si diffonde tramite e-mail di spam, spesso ritenute affidabili, perché utilizzano con successo la tecnica del thread hijacking. Prima del blocco, Emotet utilizzava i moduli denominati Outlook Contact Stealer e Outlook Email Stealer per appropriarsi delle e-mail e delle informazioni di contatto di Outlook. Tuttavia, poiché non tutti utilizzano Outlook, dopo il takedown, Emotet si è concentrato anche su un’applicazione di posta elettronica alternativa gratuita, Thunderbird. Inoltre, ha iniziato a utilizzare Google Chrome Credit Card Steale, per trafugare i dati delle carte di credito memorizzate nel browser Google Chrome.
Secondo le ricerche e la telemetria di ESET, le botnet di Emotet sono silenti dall’inizio di aprile 2023, molto probabilmente a causa dell’individuazione di un nuovo vettore di attacco efficace.