La botnet Emotet sta ora tentando di infettare potenziali vittime con un modulo di furto di carte di credito progettato per raccogliere le informazioni sulle carte di credito memorizzate nei profili degli utenti di Google Chrome.
Dopo aver rubato le informazioni sulla carta di credito (ad esempio, nome, mese e anno di scadenza, numeri di carta), il malware le invierà a server di comando e controllo (C2) diversi da quelli utilizzati dal modulo Emotet per il furto di carte.
“Il 6 giugno, Proofpoint ha osservato un nuovo modulo #Emotet lanciato dalla botnet E4“, ha rivelato il team Proofpoint Threat Insights.
Le botnet Linux ora sfruttano il bug critico di Atlassian Confluence
“Con nostra sorpresa, si trattava di un furto di carte di credito che aveva come unico obiettivo il browser Chrome. Una volta raccolti i dati della carta, questi venivano esfiltrati su server C2 diversi da quelli del caricatore del modulo“.
Questo cambiamento di comportamento arriva dopo l’aumento dell’attività nel mese di aprile e il passaggio a moduli a 64 bit, come ha rilevato il gruppo di ricerca sulla sicurezza Cryptolaemus.
Emotet e la pausa di primavera
Una settimana dopo, Emotet ha iniziato a utilizzare i file di collegamento di Windows (.LNK) per eseguire comandi PowerShell per infettare i dispositivi delle vittime, allontanandosi dalle macro di Microsoft Office ora disabilitate per impostazione predefinita a partire dall’inizio di aprile 2022.
Uno Zero day in Microsoft Office mette in pericolo gli utenti con un file Word
La rinascita di Emotet
Il malware Emotet è stato sviluppato e distribuito negli attacchi come trojan bancario nel 2014. Si è evoluto in una botnet che il gruppo di minacce TA542 (alias Mummy Spider) utilizza per fornire payload di secondo livello.
Inoltre, consente ai suoi operatori di rubare i dati degli utenti, eseguire ricognizioni sulle reti violate e spostarsi lateralmente verso i dispositivi vulnerabili.
Emotet è noto per il rilascio di payload dei trojan malware Qbot e Trickbot sui computer compromessi delle vittime, che vengono utilizzati per distribuire ulteriori malware, tra cui i beacon Cobalt Strike e ransomware come Ryuk e Conti.
All’inizio del 2021, l’infrastruttura di Emotet è stata abbattuta in un’azione di contrasto internazionale che ha portato anche all’arresto di due persone.
Le sirene dell’Europol: un anno di operazioni contro la criminalità informatica
Le forze dell’ordine tedesche hanno utilizzato l’infrastruttura di Emotet contro la botnet, consegnando un modulo che ha disinstallato il malware dai dispositivi infetti il 25 aprile 2021.
La botnet è tornata nel novembre 2021 utilizzando l’infrastruttura già esistente di TrickBot, quando il gruppo di ricerca Emotet Cryptolaemus, la società di sicurezza informatica GData e la società di cybersecurity Advanced Intel hanno rilevato che il malware TrickBot veniva utilizzato per spingere un loader Emotet.
Come ha rivelato ESET martedì, Emotet ha registrato un massiccio aumento dell’attività dall’inizio dell’anno, “con una crescita di oltre 100 volte rispetto al T3 2021“.
