Emotet, il banking trojan si diffonde col malspam

Emotet è una famiglia di trojan bancari caratterizzata da un’architettura modulare, tecniche di persistenza avanzate e capacità di diffusione automatica simile a quello dei worm. Solitamente viene distribuito attraverso campagne di Email fraudolente che utilizzano tecniche di social engineering per rendere plausibile e quindi maggiormente ingannevole il contenuto dei messaggi, così da indurre le vittime a scaricare ed aprire gli allegati malevoli.

Emotet viene spesso utilizzato come downloader o dropper di altri malware, tra cui i trojan bancari TrickBot, Zeus Panda e IcedID e, in tempi più recenti, anche ransomware (UmbreCrypt). A causa del suo elevato potenziale distruttivo, Emotet è stato oggetto di un bollettino di sicurezza dello US-CERT a luglio del 2018.

I ricercatori di sicurezza di ESET hanno analizzato una nuova campagna di diffusione su larga scala di Emotet iniziata il 5 novembre 2018, dopo un periodo di scarsa attività. Circa una settimana prima, era stata identificata una variante di questo malware dotata di un nuovo modulo per il furto di credenziali e indirizzi Email.

Emotet utilizza allegati Microsoft Word e PDF malevoli che si presentano come fatture, notifiche di pagamento, avvisi relativi a conti bancari, apparentemente provenienti da aziende ed enti legittimi e familiari. In alternativa ai file allegati, le Email possono contenere collegamenti a file remoti pericolosi.

L’infezione inizia quando la vittima apre l’allegato, abilita le macro in Word seguendo le istruzioni nel documento o fa clic sul collegamento all’interno del file PDF. A questo punto viene installato e avviato il payload di Emotet, che stabilisce la persistenza sul computer e segnala il successo delle sue attività al proprio server C&C, da cui riceve le istruzioni in merito a quali moduli di attacco e payload secondarie scaricare.

I moduli aumentano le capacità di Emotet consentendogli di aggiungere funzionalità come il furto di credenziali, la diffusione sulla rete, la raccolta di informazioni sensibili, il port forwarding e altre ancora. Questo recente picco nell’attività di Emotet dimostra come questo trojan continui ad essere una minaccia attiva e in continua evoluzione.

Come sempre, si raccomanda agli utenti di esercitare estrema cautela riguardo Email di provenienza sospetta, di non aprire mai gli allegati e soprattutto di non abilitare mai l’esecuzione delle macro in documenti di Microsoft Office, anche all’apparenza legittimi.

Copy Service s.r.l.
Via Pontina Km 46.600
04011 - Aprilia (LT)
Tel. 0692060064
Fax 0692060107
Partita IVA e Codice fiscale 
02121400598
Numero REA
 LT-147406
Codice univoco fattura elettronica 
KRRH6B9
Indirizzo PEC    copyservicesrl@arubapec.it
  • Facebook Social Icon
  • Google+ Social Icon

© 2023 by Copy Service srl