Purtoppo è stato osservato il ritorno della famigerata #botnet #Emotet, infatti è stata rilevata una variante di #TrickBot che scarica sui sistemi infetti un loader per Emotet.
Ricordo che nel primo trimestre di quest'anno, #Europol ed #Eurojust hanno spento l'infrastruttura di Emotet e ad aprile, le forze dell'ordine tedesche hanno creato un software per la rimozione di Emotet dai dispositivi infetti.
Ora, i ricercatori di Advanced Intel, GDatae Cryptolaemus hanno osservato cambiamenti nel nuovo #loader di Emotet rispetto alle varianti precedenti, infatti questo include aumentate opzioni di comando che ora sono sette invece dei suoi soliti tre o quattro.

I ricercatori, però, non hanno trovato alcuna prova che ora Emotet invii e-mail di #spam o scoperto documenti dannosi che consegnano il #malware (metodi tipici utilizzati per diffondere Emotet in passato).
Si ritiene che la possibile ragione dietro la mancanza di attività di spamming sia lo sforzo di ricostruzione dell'infrastruttura.
Invece di Emotet che installa TrickBot (come è sempre avvenuto in passato), gli attori delle minacce utilizzano un metodo chiamato Operation Reacharound per ricostruire la botnet Emotet sfruttando l'infrastruttura esistente di TrickBot. In pratica avviene il contrario, ora è Trickbot che installa emotet.

La nuova infrastruttura Emotet sta crescendo rapidamente, con 246 dispositivi infetti che già fungono da server C2. Pertanto, l'azione rapida è la necessità del momento. #Abuse.ch (un'organizzazione senza scopo di lucro) ha rilasciato un elenco di server C2 utilizzati dalla nuova botnet Emotet e gli esperti raccomandano vivamente agli amministratori di bloccare qualsiasi indirizzo IP associato.

Tweet