Il malware Emotet colpisce le aziende statunitensi con lo spam COVID-19

Il malware Emotet colpisce le aziende statunitensi con lo spam COVID-19

Il malware Emotet ha iniziato a inviare spam alle e-mail relative a COVID-19 alle aziende statunitensi dopo una lunga inattività durante la pandemia negli Stati Uniti.

Prima di spegnersi il 7 febbraio 2020, il malware Emotet inviava comunemente spamming a tema COVID-19 per distribuire malware in altri paesi già colpiti dalla pandemia.

Poiché l'inizio della pandemia negli Stati Uniti è stato intorno a marzo, Emotet non ha mai avuto la possibilità di prendere di mira le aziende statunitensi con spam correlato a COVID-19.

Con Emotet tornato in pieno svolgimento dopo il risveglio il 17 luglio 2020, Emotet ha iniziato a vomitare spam COVID-19, e questa volta sta prendendo di mira gli utenti negli Stati Uniti.

Lo spam COVID-19 Emotet ora prende di mira le organizzazioni statunitensi

In una nuova e-mail di spam scoperta dal ricercatore di sicurezza  Fate112 , Emotet ha inviato un'e-mail rubata che finge di provenire dal "California Fire Mechanics" che invia un "May COVID-19 update".

Questa e-mail non è un modello creato dagli autori di Emotet, ma piuttosto un'e-mail rubata a una vittima esistente e adottata nelle campagne di spam del malware.

In allegato all'e-mail è presente un allegato dannoso denominato "EG-8777 Medical report COVID-19.doc", che utilizza un modello di documento generico utilizzato nelle campagne precedenti.

Questo modello finge di essere stato creato da un dispositivo iOS e richiede agli utenti di fare clic su "Abilita contenuto" per visualizzarlo correttamente.

Una volta che un utente fa clic sul pulsante "Abilita contenuto", verrà eseguito un comando di PowerShell che scarica l'eseguibile del malware Emotet da uno dei tre a quattro siti.

In questa particolare campagna, una volta scaricato, Emotet verrà salvato nella cartella% UserProfile% e denominato come un numero di tre cifre, come 498.exe.

Una volta eseguito, il computer di una vittima diventerà parte dell'operazione del bot malware e invierà ulteriori messaggi di posta elettronica dannosi.

Infine, Emotet scaricherà e installerà altri malware come Qbot o TrickBot, che verranno utilizzati per rubare dati, password e potenzialmente portare alla distribuzione di ransomware.

In una conversazione con l'esperto di Emotet Joseph Roosen, è stato detto che altre campagne COVID-19 sono state recentemente viste utilizzando e-mail a catena di risposta.

"Finora l'abbiamo visto solo come parte di email a catena di risposta rubate. Non lo abbiamo ancora visto come un modello generico ma sono sicuro che sia proprio dietro l'angolo ehehe. C'era una catena di risposte che ho visto ieri che è stata inviata a Centinaia di indirizzi che si riferivano alla chiusura di un'organizzazione a causa di covid-19. Non sarei sorpreso se Ivan filtrasse alcune di quelle catene di risposte per concentrarsi su quelle che coinvolgono covid-19", ha detto Roosen.

Ivan è il soprannome di Roosen per gli operatori russi di malware Emotet.

La società di sicurezza e-mail Cofense ha anche detto di aver visto recentemente spam relativo a COVID-19 che utilizza allegati denominati "COVID-19 report 08 12.doc" e simili.

Cofense afferma che la data del documento cambierà nel giorno della campagna.

Poiché Emotet è un malware così pericoloso che può portare a una serie di rischi, tutti gli utenti domestici e aziendali devono essere cauti nell'aprire documenti che richiedono di "Abilita contenuto".

Se ricevi questo tipo di e-mail, prima scansiona l'allegato con uno scanner antivirus per assicurarti che sia sicuro da aprire. Anche allora, dovresti procedere con cautela.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.