La botnet Emotet sta tentando di infettare potenziali vittime con un modulo che ruba le info delle carte di credito: è progettato per raccogliere le informazioni memorizzate nei profili utente di Google Chrome.
Dopo aver rubato le informazioni sulla carta di credito (ad esempio, nome, mese e anno di scadenza, numeri di carta), il malware le invierà ad un server di comando e controllo (C2) diversi da quelli utilizzati dal modulo di Emotet.
“Il 6 giugno, Proofpoint ha osservato che è stato rilasciato un nuovo modulo dalla botnet E4“, ha affermato il team di Proofpoint Threat Insights. “Con nostra sorpresa si trattava di un malware che prendeva di mira esclusivamente il browser Chrome. Una volta raccolti i dettagli della carta, sono stati esfiltrati su server diversi“.
Questo cambiamento è arrivato dopo il passaggio ai moduli a 64 bit, come notato dal gruppo di ricerca sulla sicurezza di Cryptolaemus.
Una settimana dopo, Emotet ha iniziato a utilizzare i file di scelta rapida di Windows (.LNK) per eseguire i comandi di PowerShell per infettare i dispositivi delle vittime, allontanandosi dalle macro di Microsoft Office ora disabilitate per impostazione predefinita a partire dall’inizio di aprile 2022.
Nonostante gli arresti, sono tornati
Il malware Emotet è stato sviluppato e distribuito come trojan bancario nel 2014. Si è evoluto in una botnet utilizzata dal gruppo di minacce TA542 (alias Mummy Spider) fornendo payload di seconda fase.
Consente inoltre ai suoi operatori di rubare i dati degli utenti, eseguire ricognizioni su reti violate e spostarsi lateralmente su dispositivi vulnerabili.
Emotet è noto per rilasciare payload di trojan malware Qbot e Trickbot sui computer compromessi delle vittime, che vengono utilizzati per distribuire malware aggiuntivo, inclusi beacon Cobalt Strike e ransomware come Ryuk e Conti.
All’inizio del 2021, l’infrastruttura di Emotet è stata smantellata in un’azione delle forze dell’ordine internazionale che ha portato anche all’arresto di due persone.
Le forze dell’ordine tedesche hanno utilizzato l’infrastruttura di Emotet contro la botnet, fornendo un modulo che ha disinstallato il malware dai dispositivi infetti il 25 aprile 2021.