Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Il malware Emotet sempre più attivo e pericoloso: la nuova versione passa a 64bit
- MARTEDÌ 18 OTTOBRE 2022




E' una vecchia conoscenza e una presenza quasi fissa nei report settimanali del CERT (Computer Emergency Response Team) italiano: Emotet non è affatto nuovo in Italia e anzi, si piazza tra i malware più distribuiti nel nostro paese. Ha avuto vicende alterne: qualche tempo fa abbiamo raccontato di come una task force internazionale ne ha preso il controllo e abbattuta l'infrastruttura. Ma Emotet è tornato, malware e botnet, più forte di prima.

Emotet in breve:

Emotet è un trojan modulare con capacità di auto propagazione. Può ottenere la persistenza sulla macchina infetta. E' usato principalmente per il furto dati, ma anche per il riconoscimento delle reti, per eseguire movimenti laterali o per fungere da dropper di ulteriori payload dannosi. In particolare molto spesso è usato come ariete per la distribuzione di Cobal Strike o di ransomware. Al malware si lega una botnet che sta crescendo costantemente.

Per saperne di più > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet

I ricercatori segnalano un forte incremento della botnet Emotet

Le pessime notizie riguardo a Emotet non accennano però a diminuire, anzi. I ricercatori di sicurezza hanno denunciato una vera e propria impennata nella distribuzione del malware. C'è anche il forte sospetto che, a breve, gli attaccanti eseguiranno lo switch ad un nuovo payload che, attualmente, è rilevato da un numero veramente ridotto di soluzioni di sicurezza e motori antivirus.

Il collettivo di ricercatori di sicurezza Cryptoleaemus ha rilevato un picco nelle attività della botnet tra Febbraio e Marzo 2022: si parla di un volume di email che da 3.000 è arrivato a 30.000. La maggior parte di queste email è scritta in inglese, francese, italiano, ungherese, norvegese, polacco, russo, sloveno e cinese, che poi sono anche gli Stati dove il malware colpisce con maggior frequenza. CheckPoint non a caso riporta Emotet come la principale e più attiva minaccia malware nel Marzo 2022. 

E' stato denunciato anche il fatto che Emotet faccia sempre più frequente ricorso al dirottamento delle conversazioni email: gli attaccati intercettano scambi email precedenti e inviano una email ai partecipanti. Lo scopo è quello di convincere gli utenti a scaricare un archivio ZIP e aprirlo oppure semplicemente aprire un allegato email. Dal momento che gli attaccanti hanno accesso alle conversazioni precedenti e si spacciano per uno dei partecipanti alla conversazione è molto facile che il ricevente cada nel tranello. 

Una mail PEC di distribuzione di Emotet in Italia. Fonte: Onorato Informatica
 


Non finisce qui: il passaggio ai 64-bit

I ricercatori di Cryptoleaemus, che tengono sotto controllo l'attività di Emotet da anni, hanno anche fatto sapere che su Epoch 4 (una parte dell'infrastruttura della botnet Emotet) gli attaccanti sono passati ad usare loader e moduli infostealer a 64-bit. In precedenza tutti questi strumenti erano a 32-bit.

E' quindi in corso un test: il nuovo loader non è presente su Epoch5, altra parte dell'infrastruttura, ma come sottolineano da Cryptoleaemus il ritardo ha una spiegazione. Epoch4 è solitamente la parte dell'infrastruttura Emotet usata a fini di test per lo sviluppo (continuo, va detto) del malware. Un dato già infatti allarma: da quando il nuovo loader è in diffusione su Epoch4 il tasso di rilevamento è drasticamente sceso dal 60% al 4%.

Per approfondire > A deep dive into new 64Bit Emotet Modules
di Tejaswini Sandapolla, Security Researcher dei Quick Heal Security Labs. Esperta di reverse engineering e analista malware. 


La protezione offerta da Quick Heal

Quick Heal individua e blocca questa nuova variante di Emotet (MD5 da045fce83afdcb9920a0a38b279d33d) come
  • Trojan.Emotet.S28135758



Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 14 NOVEMBRE 2022
il trojan bancario QBot usa la tecnica dello Smuggling dell'HTML per colpire gli utenti
QBot, conosciuto anche come Qakbot, QuackBot o Pinkslipbot è un trojan bancario osservato per la prima volta nel 2007. Oggi Qbot è una minaccia persistente contro le azie...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

P.IVA: 05345670482
Telefono: 055430352
distribuito da
© 2022 nwk - Privacy Policy - Cookie Policy - Login