Emotet non accenna a scomparire dalla scena del cybercrimine. In circolazione già dal 2014, questo malware era nato come trojan bancario, diffuso via spam e capace di installare una backdoor nei dispositivi infettato e, quindi, di spiare e sottrarre dati. Negli anni si è evoluto e ha utilizzato il meccanismo delle botnet per diffondersi su larga scala, inoltre il modello di business di Emotet si è basato sulla rivendita dei dati rubati ad altri attori malevoli (per esempio, gruppi ransomware). Il suo momento di gloria era stato il 2020, mentre nel 2021 la botnet era stata smantellata salvo poi ricomparire qualche mese dopo in nuove forme, come descritte da Proofpoint.
Ora invece è Kaspersky a parlare nuovamente di Emotet. I ricercatori hanno osservato a giugno di quest’anno una nuova campagna che ha sfruttato la nuova rete botnet di Emotet per diffondere file OneNote malevoli. Aprendoli, l’utente vittima attiva l’esecuzione di un VBScript nascosto; quest’ultimo tenta di scaricare un payload dannoso da vari siti Web e, una volta installatolo nel sistema target, si passa alla fase successiva.
Kaspersky ha spiegato che, una volta all’interno del sistema, Emotet installa nella directory temporanea ed esegue una DLL contenente istruzioni nascoste, o shellcode, e funzioni di importazione crittografate. Riportando un chiaro uno specifico file dalle proprie risorse, Emotet infine prende il controllo eseguendo il suo payload dannoso.
Nel mese di giugno i i ricercatori di Kaspersky hanno anche scoperto DarkGate, un nuovo loader che possiede numerose funzionalità evolute, superiori rispetto a quelle tipiche dei downloader: un Vnc (Virtual Network Computing) nascosto, capacità di esclusione di Windows Defender, furto della cronologia del browser, reverse proxy, gestione dei file e furto di token Discord. Inoltre DarkGate si distingue per il modo in cui realizza la crittografia delle stringhe con chiavi personalizzate e per una versione di codifica Base64 su misura, che utilizza un set di caratteri speciali.
Un terzo protagonista degli ultimi mesi LokiBot, un infostealer che viene diffuso all’interno di campagne di phishing e in particolare tramite allegati Excel che invitano gli utenti ad abilitare le macro. Anche in questo caso si tratta di una minaccia datata, identificata per la prima volta nel 2016. Una recente campagna di phishing basata su LokiBot ha preso di mira le società di trasporti navali e ha sfruttato due vulnerabilità note di Microsoft Office.
“La ricomparsa di Emotet, la continua presenza di LokiBot e la comparsa di DarkGate ci ricordano la continua evoluzione delle minacce informatiche che dobbiamo affrontare”, ha commentato Jornt van der Wiel, Senior Security Researcher del Global Research and Analysis Team di Kaspersky. “Poiché questi gruppi di malware si evolvono e adottano nuovi metodi di infezione, è fondamentale che utenti e aziende prestino attenzione e investano in efficaci soluzioni di sicurezza informatica”.