Su internet non si può mai stare tranquilli e bisogna sempre fare attenzione alle possibili minacce che possono celarsi dietro ogni link, email sospetta e allegato strano. La botnet Emotet vuole rendere la nostra vita ancora più difficile intrufolandosi nelle nostre conversazioni email, rubandovi addirittura degli allegati.
Il ricercatore della sicurezza di Binary Defense James Quinn ha dichiarato a BleepingComputer che si tratta di una prima assoluta: non era mai capitato in precedenza che una botnet utilizzasse allegati rubati agli utenti per aggiungere credibilità alle email utilizzate per diffondere se stessa e altri svariati malware. Secondo Marcus Hutchins, conosciuto anche con il nickname MalwareTech, il modulo "ruba allegati" sarebbe stato aggiunto ad Emotet il 13 giugno.
breaking #emotet news from @CofenseLabs
— Cryptolaemus (@Cryptolaemus1) July 28, 2020
in addition to stolen body text, emails are now including original attachment content to add even more legitimacy.
significant data breach implications, again demonstrating that emotet infections are serious https://t.co/bWbHxGWZK4
Emotet, originariamente pensato come trojan bancario e per la prima volta avvistato nel 2014, si era già evoluto imparando ad intrufolarsi in conversazioni email e inviare link o allegati malevoli spacciandosi per una delle persone coinvolte dello scambio di messaggi, come scoperto da Minerva Labs nel marzo del 2019.
"Emotet sembra utilizzare non solo corpi delle e-mail rubati, ma ora include anche allegati rubati", ha affermato la società di sicurezza e-mail Cofense. "Questo rende ancora più autentiche le loro e-mail di phishing. In un esempio abbiamo trovato 5 allegati benigni e un link dropper all'interno della porzione di template dell'email".
Da quando è stato riportato in vita, Emotet ha iniziato a installare il trojan TrickBot sui computer Windows compromessi, per poi passare a diffondere nuovamente il malware QakBot, sostituendo completamente i payload TrickBot. Al momento non ci sono informazioni precise sui nuovi payload finali di QakBot ma sembra stia distribuendo il ransomware ProLock su alcuni dei sistemi inizialmente infettati da Emotet.
Questo enorme picco di attività ha portato Emotet a classificarsi al primo posto in una lista dei primi 10 ceppi di malware analizzati sulla piattaforma interattiva di analisi Any.Run durante l'ultima settimana, di gran lunga al di sopra del malware successivo nella lista (il njRAT Remote Access Trojan), con più del doppio del numero di upload di campioni inviati per l'analisi.
TOP10 last week's threats by uploads
— ANY.RUN (@anyrun_app) July 27, 2020
⬆️ #Emotet 1371 (315) ☠️
⬆️ #njRAT 150 (146)
⬇️ #AgentTesla 118 (176)
⬇️ #FormBook 105 (121)
⬇️ #NanoCore 75 (84)
⬆️ #AsyncRAT 61 (49)
⬇️ #LokiBot 57 (67)
⬇️ #Qealler 55 (106)
⬆️ #Masslogger 44 (38)
⬇️ #Remcos 42 (68)https://t.co/98nRpXOxWw
Alla ricerca di una suite di sicurezza completa per i vostri PC? Kaspersky Internet Security 2020, licenza di un anno per 3 dispositivi, è in sconto su Amazon.