Dopo la sua dismissione, avvenuta all’inizio dello scorso anno, è tornato alla ribalta il malware Emotet, definito uno dei più pericolosi a livello mondiale addirittura da Europol. Gli ultimi rilevamenti degli esperti hanno mostrato una ripartenza della diffusione di questo software malevolo sui sistemi Windows già infettati col trojan TrickBot. Ovviamente quella che si sta diffondendo è una nuova variante del già noto Emotet.
La campagna riscontrata che segna la ricomparsa di Emotet si chiama Operation Reacharound e si basa su una serie di comandi inediti che consentono agli hacker di eseguire i payload malevoli. Il ricercatore Brad Duncan, in un rapporto diffuso su un forum specializzato, ha spiegato come questa nuova variante si stia diffondendo tramite catene di risposta ad email che riferiscono principalmente a documenti fiscali. Ogni allegato, più spesso file word, excel o cartelle zip, contiene quindi un messaggio che chiede di fare clic su Abilita contenuto per poter sbloccare la corretta visualizzazione del documento. Chiaramente quel clic scatena la catena di contagio.
Le macro abilitate darebbero il via al download di un file DLL che porta al download, nel PC infetto, di un file .exe. Tale file successivamente fa diventare uno spambot il PC della vittima, consentendo così la replicazione del contagio.
Queste evidenze mostrano come l’operazione di smantellamento di Emotet avvenuta nel gennaio scorso sia stata soltanto una battuta di arresto per i diffusori del malware. Questo lo si è evinto a partire da domenica 14 novembre, quando tutti i PC in cui era presente TrickBot hanno iniziato a riprodurre Emotet dando nuovamente vita alla rete di bot che invia spam per diffondere il contagio.
Per bloccare la catena, un portale svizzero chiamato abuse.ch ha diffuso una lista di 246 IP da bloccare per evitare di cadere nella rete di Emotet (a questo link). Il consiglio che viene ovviamente dato a tutti coloro che vogliono evitare di incappare in questo malware è quello di aumentare la consapevolezza sull’utilizzo della tecnologia ai propri dipendenti e, soprattutto, di dotarsi di strumenti di sicurezza di alto livello che consentono di bloccare gli IP in modo semplice.
Terminiamo l’articolo con un fatto curioso. Nel luglio 2020, il temutissimo Emotet venne a sua volta attaccato da un hacker che provò a smantellare la sua botnet. Sfruttando una debolezza dei siti WordPress utilizzati per scaricare il DLL che poi installa il malware nei PC, questo hacker rimasto anonimo ha letteralmente mandato KO tutti questi portali. A quel punto, anziché scaricare il file eseguibile, le vittime di Emotet si ritrovavano sul PC delle simpatiche GIF animate che non portavano alcun danno ai loro sistemi fermando, di fatto, l’espansione della botnet.