La botnet di Emotet ha ripreso le sue attività dopo cinque mesi di fermo

3 Novembre 2022 16:49

Autore: Eros Capobianco

Emotet il famoso cavallino galoppante torna in pista, questo è ciò che si evince al momento. Alcuni ricercatori del gruppo di ricerca Cryptolaemus tramite la nota piattaforma Twitter stanno segnalando la ripresa dello spam.

Dopo quella che potrebbe sembrare una breve pausa, le Epoch 4 ed Epoch 5 riprendono le campagne di diffusione del malware tramite nuovi file con estensione .xls .

Advertising

Circa tre settimane fa i laboratori di VMWare avevano reso pubblico un report nel quale veniva analizzata la Cyber Kill Chain di Emotet e venivano illustrate alcune nuove funzionalità. Il malware si sarà aggiornato nuovamente?

(Fonte: https://twitter.com/ffforward/status/1587726719414312960)

Cos’è Emotet?

Emotet è un malware scoperto per la prima volta nel 2014, inizialmente poteva essere configurato nella categoria Banking Trojan in quanto lo scopo principale dell’infezione era quello di recuperare dati bancari dalle macchine infette.

Nel 2018 l’aggiunta di molteplici nuove funzionalità portò Emotet a rientrare nella categoria Trojan-Dropper, avendo acquisito tramite le modifiche apportate, la capacità di installare altri malware a seguito della sua infezione.

L’espansione della minaccia aumento notevolmente, fino a che nel 2021 un’operazione internazionale coordinata contro il cyber crimine pose quella che sarebbe sembrata la fine del gruppo criminale che gestiva l’infrastruttura.

La storia di Emotet non finisce qui, infatti ritorna al galoppo agli inizi del 2022 e vengono avviate nuove campagne di spam, una delle quali inefficace a causa di un bug nel codice del malware.

Advertising

I nuovi potenziamenti

Tra i nuovi potenziamenti che possiamo notare tra le versioni di Emotet prima della sua chiusura e oggi, ricordiamo principalmente un modulo incaricato dello spam e un modulo utilizzato per rubare gli account di thunderbird.

Tramite questi moduli aumenta la resilienza dell’infrastruttura, oltre che aumentare il potenziale di diffusione.

Inoltre come di consueto negli aggiornamenti ai malware possiamo notare un miglioramento nel camuffamento dei server di comando e controllo.

(Fonte: VMWare – Via https://thehackernews.com/2022/10/new-report-uncovers-emotets-delivery.html)

La nuova campagna arriva in Italia

Secondo quanto affermato al 02 novembre 2022 dai ricercatori di Cryptolaemus sembrerebbe che le epoche 4 e 5 abbiamo ripreso la diffusione di file XLS e ZIP malevoli ed al momento della scrittura non sono state rilevate modifiche.

Inoltre abuse.ch comunica l’inserimento degli ip malevoli nella piattaforma Feodotracker utilizzata per tracciare gli indirizzi attribuibili a diverse minacce.

Secondo quanto riportato dal Cert-AgId ed alcuni utenti Twitter, la campagna sarebbe inoltre già arrivata in Italia, il grafico pubblicato da agid e di seguito riportato mostra come le campagne di Emotet siano presenti in Italia in ogni fase della sua espansione. Il che si rivela preoccupante e necessità di essere tenuto in considerazione cercando di prevenire l’infezione.

(Fonte: https://cert-agid.gov.it/news/emotet-e-tornato-in-italia/)

Consigli e precauzioni

I consigli per evitare la minaccia sono gli stessi che già avevamo consigliato in passato qui.

Di seguito invece abbiamo raggruppato tutte le IOC finora scoperte riguardo la nuova campagna di Emotet. Ad esclusione di quelle già comunicate dal cert-agid che possono essere trovate al seguente link: Cert-Agid Emotet IOC

EPOCH 4

Hashes:

ef2ce641a4e9f270eea626e8e4800b0b97b4a436c40e7af30aeb6f02566b809c
aef461e917273a9e8eb9c26a670689b9e6d26d3efe363c0f44d3bab34a6d371b
6e8ccade5bca2836792a9e8e0b0d9e70070005af95a332380c76645287039fae

Urls:

hxxps://audioselec[.]com/about/dDw5ggtyMojggTqhc/
hxxp://intolove[.]co[.]uk/wp-admin/FbGhiWtrEzrQ/
hxxps://geringer-muehle[.]de/wp-admin/G/
hxxp://isc[.]net[.]ua/themes/3rU/
hxxps://atlantia[.]sca[.]org/php_fragments/D8Nwm2F80BL4s/
hxxp://aibwireless[.]com/cgi-bin/zR2mG25Ssk8dH/
hxxps://amorecuidados[.]com[.]br/wp-admin/t3D/
hxxp://thuybaohuy[.]com/wp-content/u3MJwXSP9tmiaTCyZD/

EPOCH 5
Hashes:

65f6bf1299c82659d54482d0d08ed38dcdf61826f7df7fb68301620933e61e16
cd99b899c5a3d6ddb22969605b079375da897362b4d599fc9eebb1e21115a31d
f9a9b01d460cf2e4ff970a3d7e9b0f7c4be4d5d209aac07d186eb75a84bafb0b

Urls:

hxxp://sat7ate[.]com/wordpress/ZAf5j4MG8Hwnig/
hxxp://www[.]3d-stickers[.]com/Content/Afa1PcRuxh/
hxxp://www[.]spinbalence[.]com/Adapter/moycMR/
hxxp://navylin[.]com/bsavxiv/axHQYKl/

Unknown source (Epoch 4/5):
ips:

182.162.143.]56
218.38.121.]17
103.133.214.]242
142.93.76.]76
203.217.140.]239

hashes:

3b33dda9b3ba6955876a39e86b3da946
50af6bffbd160b0f93a1287b6962f943
98abdabfbfc21ac18c4bbe28364c90c5
e21a49dfb4b35b93eb95b52b64078826
bf5319e9d582876aaaa4df46e74e74ee
d3b182de8c99553a9f2b6d0f3f030a4f
2486374800299563AB8934122234242A
E0C50A494ACE92008C4739246539A996
1216736418AE4FE12D309099EA507947

📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici

Sandro Sana

CISO, Head of Cybersecurity del gruppo Eurosystem SpA. Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity. Autore del libro "IL FUTURO PROSSIMO"

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore