Emotet è un insidioso malware di cui abbiamo avuto modo di parlarvi in diverse occasioni, soprattutto in relazione al suo recente passaggio ai moduli a 64 bit.
Nato come trojan utilizzato in ambito bancario nel 20214, nel corso del tempo è diventato una botnet impiegata dal gruppo Mummy Spider per la distribuzione di payload di seconda fase. Inoltre, Emotet consente di rubare dati, analizzare le reti violate e infettare altri dispositivi vulnerabili in esse presenti. Molto speso, viene utilizzata come tramite, attraverso altri payload di trojan, per infettare i computer delle vittime con ransomware come Conti.
Sebbene l'infrastruttura di Emotet fosse stata neutralizzata all'inizio dell'anno scorso dalle forze dell'ordine internazionali (con l'arresto di due membri del gruppo responsabile), sembra che la botnet non abbia mai smesso di circolare. A novembre 2021, infatti, sembra che siano stati diffusi i loader di Emotet tramite il malware TrickBot.
Più di recente, gli analisti di Proofpoint hanno osservato un modulo Emotet distribuito dalla botnet E4, allo scopo di rubare le carte di credito colpendo esclusivamente il browser Google Chrome: una volta raccolti i dati, Emotet invierebbe i dettagli delle carte di credito a vari server C2 tramite il loader del modulo stesso.
Oltre al passaggio a 64 bit, ora sembra che Emotet sfrutti i file .LNK (i collegamenti rapidi di Windows) per eseguire comandi di PowerShell allo scopo di infettare i dispositivi delle vittime, abbandonando le macro di Office, ormai disabilitate da Microsoft per impostazione predefinita da inizio aprile 2022, nel tentativo di scongiurare l'exploit delle macro per la diffusione di malware.