Anche i malware vanno in vacanza. Almeno così sembra. Dopo una “pausa” di cinque mesi, infatti, la botnet Emotet sembra sia tornata attiva, con una campagna di spam via e-mail.

Forse ricorderete lo schema d’attacco: Emotet prevede la diffusione di malware tramite documenti Excel o Word compromessi inviate a mezzo posta elettronica, con l’impiego delle tecniche del phishing. L’utente viene spinto con l’inganno ad aprire i documenti che a loro volta attivano delle macro, con il conseguente download del file DLL di Emotet e il suo caricamento in memoria.

Da qui, il malware avvia le proprie operazioni nefaste, ovvero cercare e rubare e-mail da utilizzare in campagne di spam successive, nonché installare ulteriori payload come Cobalt Strike e altri malware solitamente mirati a condurre attacchi ransomware.

Emotet back in Distro Mode – As of 0800 UTC E4 began spamming and as of 0930 UTC E5 began spamming again. Looks like Ivan is in need of some cash again so he went back to work. Be on the lookout for direct attached XLS files and zipped and password protected XLS. 1/x

— Cryptolaemus (@Cryptolaemus1) November 2, 2022

L’operazione Emotet sembrava dormiente, infatti negli ultimi cinque mesi non si erano registrate attività. Tuttavia, il gruppo di ricerca Cryptolaemus ha rilevato l’avvio di un’operazione di spam alle 4 del mattino del 2 novembre.

Tra le novità introdotte dal gruppo, c’è un nuovo modello per gli allegati Excel, in cui viene spiegato all’utente come aggirare le funzioni di protezione Microsoft per poter visualizzare il documento.

Il malware, una volta scaricato, agisce silenziosamente in background, collegandosi al server C2 in attesa di ulteriori istruzioni o di caricare ulteriori payload. Tuttavia, al momento pare che le infezioni Emotet connesse alla campagna in corso non abbiano rilasciato ulteriori payload malware sui dispositivi colpiti.

Non è detto che la situazione cambi a breve, però, dato che Emotet è nota per il caricamento di malware e beacon come Cobalt Strike e TrickBot, senza contare che da quando l’operazione Conti ransomware è cessata, il gruppo Emotet ha iniziato a collaborare con altre operazioni ransomware come BlackCat e Quantum.