La telemetria di ESET, il pi\u00f9 grande produttore di software per la sicurezza digitale dell\u2019Unione europea, ha rilevato una nuova impennata di infezioni causate da Emotet, un Trojan bancario famoso per la sua architettura modulare, le tecniche di persistenza e il sistema di diffusione automatica simile a quello dei vecchi worm. Secondo i dati di ESET, l’ultima campagna di Emotet \u00e8 stata avviata il 5 novembre 2018, dopo un periodo di scarsa attivit\u00e0, ed \u00e8 mirata alle due Americhe, il Regno Unito, la Turchia e il Sudafrica. L\u2019Italia per ora \u00e8 stata minacciata in maniera marginale, ma non si esclude che nelle prossime settimane Emotet possa insidiare il nostro Paese in maniera pi\u00f9 massiva.<\/p>\n
Emotet solitamente viene distribuito attraverso campagne di spam che utilizzano tecniche di social engineering per rendere il contenuto dei messaggi estremamente plausibile e quindi maggiormente ingannevole, cos\u00ec da indurre le vittime a eseguire i loro allegati dannosi. Il Trojan viene spesso utilizzato come downloader o dropper per avviare payload secondarie, di solito maggiormente pericolose.<\/p>\n
In questa nuova campagna, Emotet impiega allegati Word e PDF dannosi che si presentano come fatture, notifiche di pagamento o avvisi su conti bancari apparentemente provenienti da aziende ed enti legittimi. In alternativa ai file allegati, le email includono dei collegamenti a file remoti pericolosi. Lo scenario tipico di un\u2019infezione causata da questa nuova campagna inizia con la vittima che apre un file Word o PDF dannoso collegato a un’email di spam che sembra provenire da un’organizzazione legittima e familiare. Seguendo le istruzioni nel documento, la vittima abilita le macro in Word o clicca sul collegamento nel PDF. A questo punto la payload di Emotet viene installata e avviata, stabilisce la persistenza sul computer e segnala il successo delle sue attivit\u00e0 al proprio server C & C, da cui poi riceve le istruzioni in merito a quali moduli di attacco e payload secondarie scaricare. I moduli aumentano le capacit\u00e0 della payload consentendogli di aggiungere funzionalit\u00e0 come il furto di credenziali, la diffusione sulla rete, la raccolta di informazioni sensibili, il port forwarding e altre ancora. Per quanto riguarda le payload secondarie, questa campagna ha visto Emotet rilasciare sulle macchine compromesse malware come TrickBot e IcedId.<\/p>\n
Il recente picco nell’attivit\u00e0 di Emotet dimostra che la diffusione di questo Trojan bancario \u00e8 in continua ascesa, venendo a ragione considerato tra i malware pi\u00f9 pericolosi; a causa del suo elevato potenziale distruttivo, Emotet \u00e8 stato oggetto di un avviso di sicurezza US-CERT a luglio del 2018.<\/p>\n