Definito a più riprese come il malware più pericoloso degli ultimi anni, Emotet è l’Araba Fenice dello scenario cybercriminale o uno zombie che ritorna in vita anche quando sembrava definitivamente sepolto. Il famoso trojan bancario, diffuso via spam e capace di installare una backdoor nei dispositivi infettati, è rimasto in circolazione per anni e dopo la sua ricomparsa a inizio 2020 il gruppo cybercriminale che ne tirava le fila era stato trovato e smantellato con mobilitazione di grandi forze, inclusi l’Europol e l’Fbi.
Nel frattempo Emotet si era già evoluto e trasformato, prestandosi anche a operare come botnet per diffondere altro malware attraverso la rete dei dispositivi da lui infettati. Ora, però, diverse aziende e ricercatori di cybersicurezza hanno segnalato il ritorno di Emotet in una diversa forma. Gruppi cybercriminali stanno usando un altro famigerato malware-botnet, TrickBot, per installare Emotet su macchine Windows compromesse.
G Data, società di cybersicurezza tedesca, ha per esempio osservato numerosi episodi in cui Trickbot ha tentato di installare una libreria a collegamento dinamico (DLL) sul sistema target. Tali DLL sono state identificate come appartenenti a Emotet e rappresentano, secondo G Data, una "reincarnazione" del malware messo a tacere nel 2020. Al momento questa “reincarnazione” non sta agendo come botnet ma potrebbe iniziare a farlo prossimamente. Anche secondo un ricercatore di Team Cymru, azienda che nel 2020 ha contribuito a smantellare la campagna di Emotet, ci sono segnali di una relazione tra la vecchia e la nuova variante.
Anche Proofpoint è testimone del ritorno di Emotet: a suo dire, la nuova variante è all’opera con l’invio di messaggi a organizzazioni governative, non-profit e aziende private (soprattutto dei settori dei servizi finanziari, assicurativo, trasporti, tecnologico e manifatturiero), prevalentemente negli Stati Uniti e in Canada. “Non sembrano essere test, sono campagne attive e una delle differenze principali rispetto al passato è nel volume, per ora più contenuto: erano stati rilevati oltre 50.000 messaggi prima delle azioni internazionali legislative”, ha spiegato Sherrod DeGrippo, vice president, Threat Research and Detection di Proofpoint. “Tra le novità, l'integrazione di file XLS e XLM: se un utente abilita le macro, procede all’installazione di Emotet. L'attore ha anche sostituito la crittografia RSA delle Api con la Ecc (Elliptic-curve cryptography) e continuiamo a vedere thread hijacking, nomi di allegati simili, e l'uso di documenti Word e file ZIP protetti da password, come osservato in precedenza, mentre un determinato numero di nomi di file sembra legittimo”.
“Gli Url dei payload”, ha proseguito il ricercatore, “sono ancora distribuiti in set di sette, insieme alla stessa generazione di ID Botnet, per citarne alcuni. Sulla base di alcune infrastrutture osservate nelle campagne da Proofpoint, gli attori stanno facendo leva su fornitori di hosting per scalare le operazioni. Emotet è stato per anni una delle minacce costanti di maggior volume su Internet per anni, questo ritorno è significativo e rappresenta un rischio importante per la postura di sicurezza delle organizzazioni”.