Emotet è stato resuscitato?? Sembra che il famigerato malware sia tornato per Natale.
Mesi dopo che il malware è stato smantellato dalle forze dell'ordine, il ricercatore di sicurezza Luca Ebach vede segni di utilizzo di Emotet in natura. Il suo rapporto indica che TrickBot è attualmente utilizzato per distribuire una nuova variante di Emotet su sistemi TrickBot precedentemente compromessi.
Emotet Reincarnato?
"Di domenica, Novembre 14, attorno 9:26pm UTC abbiamo osservato su molti dei nostri tracker Trickbot che il bot ha provato a scaricare una DLL nel sistema. Secondo elaborazione interna, queste DLL sono state identificate come Emotet,"disse Ebach.
Ulteriori analisi hanno contribuito a confermare con "alta sicurezza" che i campioni rilevati sono davvero "una reincarnazione del famigerato Emotet".
Quali somiglianze ci sono con i precedenti campioni di Emotet? L'uso massiccio dell'appiattimento del flusso di controllo per l'offuscamento del codice era tipico delle vecchie varianti di Emotet, ed è presente anche in questo. Il ricercatore ha fornito due frammenti di codice arbitrari per illustrare la somiglianza nello stile di offuscamento.
“Secondo la famosa dattilografia anatra, concludiamo finora: profuma di Emotet, sembra Emotet, si comporta come Emotet – sembra essere Emotet,”Il ricercatore concluso.
EmoCrash: l'Emotet Killswitch
In agosto 2020, i ricercatori della sicurezza hanno creato un exploit e successivamente un killswitch (soprannominato EmoCrash) per impedire la diffusione del malware Emotet. Emotet è stato descritto come un malware all-in-one che potrebbe essere programmato dagli attori delle minacce per scaricare altri malware e rubare file, o reclutare i sistemi compromessi nella rete botnet. Conosciuto almeno da 2014, il malware è stato utilizzato in vari attacchi contro obiettivi privati e reti aziendali e governative.
Emergono anche nuovi caricatori di malware
Nel mese di ottobre 2021, i ricercatori di sicurezza di Cisco Talos hanno scoperto un nuovo caricatore di malware, ScoiattoloWaffle, con la probabilità di sostituire Emotet. “Le organizzazioni dovrebbero essere consapevoli di questa minaccia, poiché probabilmente persisterà nel panorama delle minacce per il prossimo futuro,”I ricercatori hanno detto. Poiché le operazioni di Emotet sono state interrotte dalle forze dell'ordine, i ricercatori della sicurezza hanno aspettato l'ascesa di un nuovo giocatore.
Ma ora ci sono prove quasi solide che Emotet sta tornando giusto in tempo per Natale. Will SquirrelWaffle e altri nuovi caricatori competere con un Emotet aggiornato nelle prossime campagne di phishing? Come promemoria, in 2019, una campagna di phishing è stata rilevata in natura, mirare agli utenti domestici con Emotet-laced “Festa di Natale” menu.