Redazione RHC : 3 Novembre 2022 16:49
Autore: Eros Capobianco
Emotet il famoso cavallino galoppante torna in pista, questo è ciò che si evince al momento. Alcuni ricercatori del gruppo di ricerca Cryptolaemus tramite la nota piattaforma Twitter stanno segnalando la ripresa dello spam.
Dopo quella che potrebbe sembrare una breve pausa, le Epoch 4 ed Epoch 5 riprendono le campagne di diffusione del malware tramite nuovi file con estensione .xls .
Distribuisci i nostri corsi di formazione diventando un nostro Affiliato
Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Circa tre settimane fa i laboratori di VMWare avevano reso pubblico un report nel quale veniva analizzata la Cyber Kill Chain di Emotet e venivano illustrate alcune nuove funzionalità. Il malware si sarà aggiornato nuovamente?
Emotet è un malware scoperto per la prima volta nel 2014, inizialmente poteva essere configurato nella categoria Banking Trojan in quanto lo scopo principale dell’infezione era quello di recuperare dati bancari dalle macchine infette.
Nel 2018 l’aggiunta di molteplici nuove funzionalità portò Emotet a rientrare nella categoria Trojan-Dropper, avendo acquisito tramite le modifiche apportate, la capacità di installare altri malware a seguito della sua infezione.
L’espansione della minaccia aumento notevolmente, fino a che nel 2021 un’operazione internazionale coordinata contro il cyber crimine pose quella che sarebbe sembrata la fine del gruppo criminale che gestiva l’infrastruttura.
La storia di Emotet non finisce qui, infatti ritorna al galoppo agli inizi del 2022 e vengono avviate nuove campagne di spam, una delle quali inefficace a causa di un bug nel codice del malware.
Tra i nuovi potenziamenti che possiamo notare tra le versioni di Emotet prima della sua chiusura e oggi, ricordiamo principalmente un modulo incaricato dello spam e un modulo utilizzato per rubare gli account di thunderbird.
Tramite questi moduli aumenta la resilienza dell’infrastruttura, oltre che aumentare il potenziale di diffusione.
Inoltre come di consueto negli aggiornamenti ai malware possiamo notare un miglioramento nel camuffamento dei server di comando e controllo.
Secondo quanto affermato al 02 novembre 2022 dai ricercatori di Cryptolaemus sembrerebbe che le epoche 4 e 5 abbiamo ripreso la diffusione di file XLS e ZIP malevoli ed al momento della scrittura non sono state rilevate modifiche.
Inoltre abuse.ch comunica l’inserimento degli ip malevoli nella piattaforma Feodotracker utilizzata per tracciare gli indirizzi attribuibili a diverse minacce.
Secondo quanto riportato dal Cert-AgId ed alcuni utenti Twitter, la campagna sarebbe inoltre già arrivata in Italia, il grafico pubblicato da agid e di seguito riportato mostra come le campagne di Emotet siano presenti in Italia in ogni fase della sua espansione. Il che si rivela preoccupante e necessità di essere tenuto in considerazione cercando di prevenire l’infezione.
(Fonte: https://cert-agid.gov.it/news/emotet-e-tornato-in-italia/)
I consigli per evitare la minaccia sono gli stessi che già avevamo consigliato in passato qui.
Di seguito invece abbiamo raggruppato tutte le IOC finora scoperte riguardo la nuova campagna di Emotet. Ad esclusione di quelle già comunicate dal cert-agid che possono essere trovate al seguente link: Cert-Agid Emotet IOC
EPOCH 4
Hashes:
Urls:
EPOCH 5
Hashes:
Urls:
Unknown source (Epoch 4/5):
ips:
hashes:
Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...
Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...
I ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006