Su internet non si può mai stare tranquilli e bisogna sempre fare attenzione alle possibili minacce che possono celarsi dietro ogni link, email sospetta o allegato strano. La botnet Emotet vuole rendere la nostra vita ancora più difficile intrufolandosi nelle nostre conversazioni email, rubandoci addirittura degli allegati. A spiegarne il funzionamento è stato il ricercatore della sicurezza di Binary Defense James Quinn durante un’intervista con BleepingComputer, che ha anche chiarito come si tratti di un attacco inedito, perché non era mai capitato in precedenza che una botnet utilizzasse allegati rubati agli utenti per aggiungere credibilità alle email utilizzate per diffondere se stessa e molti altri malware.
breaking #emotet news from @CofenseLabs
in addition to stolen body text, emails are now including original attachment content to add even more legitimacy.
significant data breach implications, again demonstrating that emotet infections are serious https://t.co/bWbHxGWZK4
— Cryptolaemus (@Cryptolaemus1) July 28, 2020
Emotet, originariamente pensato come trojan bancario e avvistato per la prima volta nel 2014, si era già evoluto nel recente passato, imparando ad intrufolarsi in conversazioni email e inviare link o allegati malevoli spacciandosi per una delle persone coinvolte nello scambio di messaggi, come scoperto da Minerva Labs nel marzo del 2019.
Da quando è stato riportato in auge, Emotet ha iniziato a installare il trojan TrickBot sui computer Windows compromessi, per poi passare a diffondere nuovamente il malware QakBot, sostituendo completamente i payload TrickBot. Al momento non ci sono informazioni precise sui nuovi payload finali di QakBot ma sembra stia distribuendo il ransomware ProLock su alcuni dei sistemi inizialmente infettati da Emotet.
Questo enorme picco di attività ha portato Emotet a classificarsi al primo posto in una lista dei primi 10 ceppi di malware analizzati sulla piattaforma interattiva di analisi Any.Run durante l’ultima settimana, di gran lunga al di sopra del malware successivo nella lista (il njRAT Remote Access Trojan), con più del doppio del numero di upload di campioni inviati per l’analisi.