Emotet riprende le operazioni di malspam

18/09/2019

botnet emotet malspam

Come prevedibile, dopo qualche mese di inattività, il malware Emotet ha ripreso le attività di malspam. Rilevato nel 2014 come trojan bancario, è noto per fornire moduli in grado di estrarre password di software locali, diffondersi ad altri computer sulla stessa rete e, come già osservato in passato dal Cert-PA, in grado di riutilizzare le comunicazioni di posta elettronica per successive campagne di spam.

Emotet inoltre, gestisce botnet come Malware-as-a-Service (MaaS), chiunque può utilizzare la botnet Emotet e rilasciare nuovi malware. In passato i ransomware Bitpaymer e Ryuk, hanno usufruito dell’accesso agli host infetti da Emotet per compromettere reti aziendali e/o Istituzioni.

La campagna, come osservato da diversi ricercatori, si basa sull’invio di mail malevole contenenti documenti Office creati ad-hoc in grado di veicolare nuove varianti del malware.

Nel dettaglio, la mail presenta contenuti apparentemente finanziari che sembrerebbero dar seguito ad una precedente conversazione.

Come di consueto, l’utente viene invitato ad aprire il documento allegato che successivamente, se la macro è abilitata, esegue codice PowerShell contenente i riferimenti ai repository da cui recuperare i payload.

Secondo fonti CLOSINT, negli ultimi dieci giorni Emotet sembra aver colpito oltre utenti statunitensi anche Paesi europei, nello specifico le attività malevole sono state concentrate in Italia, Germania, Spagna, Paesi Bassi, Francia, Inghilterra e Polonia.

 

 

Indicatori di compromissione – Settembre 2019

Aggiornamento 19 Settembre 2019

A fronte di ulteriori attività di infosharing si riportano gli IoC rilevati dal GovCERT.ch relativi a IP dei C&C Emotet

  • IoC  (.txt) – IP C&C

Aggiornamento 09 ottobre 2019

A fronte di ulteriori attività di infosharing si riportano gli screenshot dei messaggi malevoli e i nuovi IoC rilevati dal CERT-PA relativi a IP, Url, domini ed hash.

Screenshot 1:

Screenshot 2:

Indicatori di compromissione:

  • IoC  (.txt) – IP, Hash, Domini e Urls.
  • IoC  (HASHr.txt) – Lista dei soli file hash da utilizzare nello strumento  combinato HASHr