La telemetria di ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, ha rilevato una nuova impennata di infezioni causate da Emotet che per chi non lo conoscesse è un trojan bancario famoso per la sua architettura modulare, le tecniche di persistenza e il sistema di diffusione automatica.
Secondo i dati di ESET, l’ultima campagna di Emotet è stata avviata il 5 novembre 2018, dopo un periodo di scarsa attività, ed è mirata alle due Americhe, Regno Unito, Turchia e Sudafrica. L’Italia per ora è stata minacciata in maniera marginale, ma non si esclude che nelle prossimamente Emotet possa insidiare il nostro Paese in modo massiva.
Emotet, come colpisce il trojan bancario
Emotet solitamente viene distribuito attraverso campagne di spam che utilizzano tecniche di social engineering per rendere il contenuto dei messaggi estremamente plausibile e quindi maggiormente ingannevole, così da indurre le vittime a eseguire i loro allegati dannosi.
Il trojan viene spesso utilizzato come downloader o dropper per avviare payload secondarie, di solito maggiormente pericolose. In questa campagna, Emotet impiega allegati Word e PDF dannosi che si presentano come fatture, notifiche di pagamento o avvisi su conti bancari apparentemente provenienti da aziende ed enti legittimi.
In alternativa ai file allegati, le email includono dei collegamenti a file remoti pericolosi. Seguendo le istruzioni nel documento, la vittima abilita le macro in Word o clicca sul collegamento nel PDF. A questo punto la payload di Emotet viene installata, avviata e stabilisce la persistenza sul computer.
Successivamente segnala il successo delle sue attività al proprio server C & C, da cui poi riceve le istruzioni in merito a quali moduli di attacco e payload secondarie scaricare. I moduli aumentano le capacità della payload consentendogli di aggiungere funzionalità come il furto di credenziali e la diffusione sulla rete.
Per quanto riguarda le payload secondarie, questa campagna ha visto Emotet rilasciare sulle macchine compromesse malware come TrickBot e IcedId. Il recente picco nell’attività di Emotet dimostra che la diffusione di questo trojan bancario è in continua ascesa ed è considerato tra i malware più pericolosi.