La botnet Emotet torna in vita
Una delle più grandi botnet è stata interrotta e chiusa in un'operazione di applicazione della legge internazionale che ha avuto luogo all'inizio del 2021. Ora, più di un anno dopo, la stessa botnet sta dando di nuovo segni di vita e sembra che sia cresciuta un po' nuove corna e spine nel tempo in cui rimase dormiente. La botnet in questione è la famigerata rete di bot Emotet, una rete di dispositivi compromessi utilizzati per diversi scopi dannosi.
Cos'è Emotet?
Una botnet potrebbe essere utilizzata per una serie di attività dannose dalla parte che controlla i dispositivi compromessi o "bot". Nel caso di Emotet, la rete è stata utilizzata per diffondere malware e i bot sono stati noleggiati ad altri malintenzionati, in modo simile al modello ransomware-as-a-service, vendendo solo l'accesso all'infrastruttura del dispositivo compromesso.
Ora, un team di ricerca con la società di sicurezza Proofpoint ha identificato "attività Emotet a basso volume", descrivendola come "drasticamente" diversa dal modo normale in cui è stata gestita la botnet Emotet.
Emotet viene ora distribuito tramite campagne e-mail. Gli indirizzi e-mail da cui provengono i messaggi dannosi sembrano essere compromessi, secondo i ricercatori, perché il modulo spam di Emotet non è stato utilizzato per inviarli ai destinatari.
Una nuova campagna e-mail dannosa diffonde Emotet
Le e-mail avevano una struttura semplice: stringhe di oggetto di una sola parola, come "Salario". Questo è un trucco semplice ma efficace per attirare l'attenzione della vittima e convincere l'utente a fare clic su tutto ciò che è contenuto nell'e-mail. In questo caso, le e-mail contengono un solo collegamento a OneDrive.
I collegamenti di OneDrive puntano a file XLL di MS Excel, inseriti in un archivio zip. I file di archivio e il documento Excel in essi contenuti sono tutti denominati in modo simile all'oggetto della mail. Nell'esempio fornito da Proofpoint, l'archivio era denominato "Salary_new.zip" e il file Excel al suo interno - "Salary_and_bonuses-04.01.2022.xll".
Una volta che l'utente ha estratto il file Excel e ha tentato di aprirlo, Emotet viene rilasciato e distribuito.
Data la natura a basso volume della campagna, in contrasto con il solito approccio di spam aggressivo ad alto volume utilizzato in precedenza da Emotet, i ricercatori ritengono che gli operatori di malware stiano testando nuovi approcci e tecniche e stiano testando nuovi modi per evitare il rilevamento automatico.