Emotet è vivo e vegeto, altroché. Già nella primavera del 2019 erano giunti chiari segnali di una recrudescenza del trojan bancario diffuso attraverso campagne di spam, e ora un nuovo allarme è stato lanciato da Proofpoint. Dopo un periodo di apparente pausa, il gruppo di hacker TA542, responsabile della diffusione di Emotet, si è rimesso al lavoro: il 13 gennaio i ricercatori Proofpoint hanno riscontrato prove di una nuova campagna di diffusione del trojan attraverso messaggi di spam, i cui bersagli sono in particolare concentrati nel settore dell'industria farmaceutica.
I bersagli erano inizialmente di lingua inglese, ma in un secondo momento la campagna si è allargata a includere messaggi scritti in cinese, giapponese, tedesco, spagnolo e anche in italiano. Un segno del fatto che siamo tra i Paesi più colpiti da questa nuova campagna.
Gli attacchi sono stati realizzati inviando messaggi email con allegato un documento Microsoft Word con macro: Emotet viene installato nel momento in cui l’utente-vittima attiva le macro. Negli episodi recentemente riscontrati, Emotet scarica The Tick, un trojan bancario.
"Emotet è una delle minacce più pericoloso al mondo, e le organizzazioni dovrebbero prenderla sul serio”, sentenzia Sherrod DeGrippo, senior director of Threat Research and Detection di Proofpoint. “Il gruppo ha un'infrastruttura di invio massiccia: nessuno è in grado di operare su grandi volumi come loro”. Per avere un’idea della scala su cui opera TA542, basti pensare che nel terzo trimestre del 2019, un periodo in cui il gruppo era “in pausa”, Emotet ha rappresentato oltre l'11% del totale dei payload pericolosi registrati nei tre mesi.