Il nuovo allegato "Red Dawn" di Emotet malware è altrettanto pericoloso

Il nuovo allegato "Red Dawn" di Emotet malware è altrettanto pericoloso

La botnet Emotet ha iniziato a utilizzare un nuovo modello per i propri allegati dannosi ed è altrettanto pericolosa che mai.

Dopo una "vacanza" di cinque mesi, il malware Emotet è tornato nel luglio 2020 e ha iniziato a diffondere enormi quantità di spam dannoso in tutto il mondo.

Queste campagne di spam fingono di essere fatture, informazioni di spedizione, informazioni COVID-19, curriculum, documenti finanziari o documenti scansionati, come mostrato di seguito.

In allegato a queste e-mail di spam ci sono allegati dannosi di Word (.doc) o link per scaricarne uno.

Una volta aperti, questi allegati chiederanno a un utente di "Abilita contenuto" in modo che le macro dannose vengano eseguite per installare il malware Emotet sul computer di una vittima.

Per indurre un utente ad abilitare le macro, Emotet ha utilizzato un modello di documento che indica agli utenti che il documento è stato creato su iOS e non può essere visualizzato correttamente a meno che non si faccia clic sul pulsante "Abilita contenuto".

Il 25 agosto, la botnet è passata a un nuovo modello che l'esperto di Emotet Joseph Roosen ha chiamato "Red Dawn" per via dei suoi accenti di colore rosso. 

Anche il modello Red Dawn si allontana dal tema iOS e ora afferma che "Questo documento è protetto" e che l'anteprima non è disponibile.

Quindi richiede all'utente di fare clic su "Abilita modifica" e "Abilita contenuto" per visualizzare il documento.

Come il modello precedente, una volta cliccato su Abilita contenuto, verranno eseguite macro dannose che scaricano e installano il malware Emotet sul computer di una vittima.

Perché è essenziale riconoscere gli allegati di Emotet?

Emotet è considerato oggi il malware più diffuso rivolto agli utenti. È anche particolarmente dannoso in quanto installa altri malware pericolosi come Trickbot e QBot sul computer di una vittima.

Sebbene TrickBot e QBot possano eseguire diverse attività dannose, entrambi tenteranno di rubare password, cookie, informazioni bancarie e altre informazioni assortite dal computer di una vittima.

A peggiorare le cose, entrambi i trojan sono noti per fornire accesso agli autori delle minacce che installano ransomware come Conti (TrickBot) o ProLock (QBot) in tutta la rete.

Per questo motivo, è fondamentale riconoscere i modelli di documenti dannosi utilizzati da Emotet in modo da non essere accidentalmente infettati. 

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.