Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

La botnet di Emotet ha ripreso le sue attività dopo cinque mesi di fermo

Redazione RHC : 3 Novembre 2022 16:49

Autore: Eros Capobianco

Emotet il famoso cavallino galoppante torna in pista, questo è ciò che si evince al momento. Alcuni ricercatori del gruppo di ricerca Cryptolaemus tramite la nota piattaforma Twitter stanno segnalando la ripresa dello spam.

Dopo quella che potrebbe sembrare una breve pausa, le Epoch 4 ed Epoch 5 riprendono le campagne di diffusione del malware tramite nuovi file con estensione .xls .


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


Circa tre settimane fa i laboratori di VMWare avevano reso pubblico un report nel quale veniva analizzata la Cyber Kill Chain di Emotet e venivano illustrate alcune nuove funzionalità. Il malware si sarà aggiornato nuovamente?

(Fonte: https://twitter.com/ffforward/status/1587726719414312960)

Cos’è Emotet?

Emotet è un malware scoperto per la prima volta nel 2014, inizialmente poteva essere configurato nella categoria Banking Trojan in quanto lo scopo principale dell’infezione era quello di recuperare dati bancari dalle macchine infette.

Nel 2018 l’aggiunta di molteplici nuove funzionalità portò Emotet a rientrare nella categoria Trojan-Dropper, avendo acquisito tramite le modifiche apportate, la capacità di installare altri malware a seguito della sua infezione.

L’espansione della minaccia aumento notevolmente, fino a che nel 2021 un’operazione internazionale coordinata contro il cyber crimine pose quella che sarebbe sembrata la fine del gruppo criminale che gestiva l’infrastruttura.

La storia di Emotet non finisce qui, infatti ritorna al galoppo agli inizi del 2022 e vengono avviate nuove campagne di spam, una delle quali inefficace a causa di un bug nel codice del malware.

I nuovi potenziamenti

Tra i nuovi potenziamenti che possiamo notare tra le versioni di Emotet prima della sua chiusura e oggi, ricordiamo principalmente un modulo incaricato dello spam e un modulo utilizzato per rubare gli account di thunderbird.

Tramite questi moduli aumenta la resilienza dell’infrastruttura, oltre che aumentare il potenziale di diffusione.

Inoltre come di consueto negli aggiornamenti ai malware possiamo notare un miglioramento nel camuffamento dei server di comando e controllo.

(Fonte: VMWare – Via https://thehackernews.com/2022/10/new-report-uncovers-emotets-delivery.html)

La nuova campagna arriva in Italia

Secondo quanto affermato al 02 novembre 2022 dai ricercatori di Cryptolaemus sembrerebbe che le epoche 4 e 5 abbiamo ripreso la diffusione di file XLS e ZIP malevoli ed al momento della scrittura non sono state rilevate modifiche.

Inoltre abuse.ch comunica l’inserimento degli ip malevoli nella piattaforma Feodotracker utilizzata per tracciare gli indirizzi attribuibili a diverse minacce.

Secondo quanto riportato dal Cert-AgId ed alcuni utenti Twitter, la campagna sarebbe inoltre già arrivata in Italia, il grafico pubblicato da agid e di seguito riportato mostra come le campagne di Emotet siano presenti in Italia in ogni fase della sua espansione. Il che si rivela preoccupante e necessità di essere tenuto in considerazione cercando di prevenire l’infezione.

(Fonte: https://cert-agid.gov.it/news/emotet-e-tornato-in-italia/)

Consigli e precauzioni

I consigli per evitare la minaccia sono gli stessi che già avevamo consigliato in passato qui.

Di seguito invece abbiamo raggruppato tutte le IOC finora scoperte riguardo la nuova campagna di Emotet. Ad esclusione di quelle già comunicate dal cert-agid che possono essere trovate al seguente link: Cert-Agid Emotet IOC

EPOCH 4

Hashes:

  • ef2ce641a4e9f270eea626e8e4800b0b97b4a436c40e7af30aeb6f02566b809c
  • aef461e917273a9e8eb9c26a670689b9e6d26d3efe363c0f44d3bab34a6d371b
  • 6e8ccade5bca2836792a9e8e0b0d9e70070005af95a332380c76645287039fae

Urls:

  • hxxps://audioselec[.]com/about/dDw5ggtyMojggTqhc/
  • hxxp://intolove[.]co[.]uk/wp-admin/FbGhiWtrEzrQ/
  • hxxps://geringer-muehle[.]de/wp-admin/G/
  • hxxp://isc[.]net[.]ua/themes/3rU/
  • hxxps://atlantia[.]sca[.]org/php_fragments/D8Nwm2F80BL4s/
  • hxxp://aibwireless[.]com/cgi-bin/zR2mG25Ssk8dH/
  • hxxps://amorecuidados[.]com[.]br/wp-admin/t3D/
  • hxxp://thuybaohuy[.]com/wp-content/u3MJwXSP9tmiaTCyZD/

EPOCH 5
Hashes:

  • 65f6bf1299c82659d54482d0d08ed38dcdf61826f7df7fb68301620933e61e16
  • cd99b899c5a3d6ddb22969605b079375da897362b4d599fc9eebb1e21115a31d
  • f9a9b01d460cf2e4ff970a3d7e9b0f7c4be4d5d209aac07d186eb75a84bafb0b

Urls:

  • hxxp://sat7ate[.]com/wordpress/ZAf5j4MG8Hwnig/
  • hxxp://www[.]3d-stickers[.]com/Content/Afa1PcRuxh/
  • hxxp://www[.]spinbalence[.]com/Adapter/moycMR/
  • hxxp://navylin[.]com/bsavxiv/axHQYKl/

Unknown source (Epoch 4/5):
ips:

  • 182.162.143.]56
  • 218.38.121.]17
  • 103.133.214.]242
  • 142.93.76.]76
  • 203.217.140.]239

hashes:

  • 3b33dda9b3ba6955876a39e86b3da946
  • 50af6bffbd160b0f93a1287b6962f943
  • 98abdabfbfc21ac18c4bbe28364c90c5
  • e21a49dfb4b35b93eb95b52b64078826
  • bf5319e9d582876aaaa4df46e74e74ee
  • d3b182de8c99553a9f2b6d0f3f030a4f
  • 2486374800299563AB8934122234242A
  • E0C50A494ACE92008C4739246539A996
  • 1216736418AE4FE12D309099EA507947

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

38 milioni di Numeri di telefono di Italiani in vendita nel Dark Web. E’ che Smishing Sia!
Di Redazione RHC - 06/09/2025

Sette italiani su dieci hanno il proprio numero di telefono incluso in questa banca dati. Ma cosa significa attualmente disporre di un tale quantitativo di numeri telefonici concentrati all’interno ...

Se Flash è morto, ecco a voi l’SVG Assassino! Il phishing 2.0 è in alta definizione
Di Redazione RHC - 05/09/2025

I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...

Supercomputer: l’Italia al sesto e decimo posto nella classifica TOP500 del 2025
Di Redazione RHC - 05/09/2025

Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...

16 miliardi di credenziali rubate da Apple, Meta e Google in vendita per 121.000 dollari
Di Redazione RHC - 05/09/2025

Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...

Dal Commodore 64 a GitHub! Il BASIC di Gates e Allen diventa open source dopo 48 anni
Di Redazione RHC - 04/09/2025

Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...