La botnet Emotet torna alla ribalta con un modulo specificamente pensato per raccogliere informazioni sulle carte di credito salvate nei profili degli utenti di Google Chrome.
Dopo aver rubato le informazioni sulla carta di credito (ad esempio, nome, mese e anno di scadenza, numeri di carta), il malware le invierà a server di comando e controllo (C2) diversi da quelli utilizzati dal modulo Emotet per rubare le carte.
La scoperta di questo modulo Emotet lanciato dalla botnet E4, risale al 6 giugno, a opera dei ricercatori del team Proofpoint Threat Insights, che hanno dichiarato: “Con nostra grande sorpresa si trattava di un modulo pensato per sottrarre i dati delle carte di credito che prendeva di mira esclusivamente il browser Chrome. Una volta raccolti i dati delle carte di credito salvate, questi venivano esfiltrati su server C2 differenti da quelli del loader.”
Si tratta di un pericolo quanto mai concreto, visto che sono molti gli utenti che per comodità salvano dati come numero della carta di credito e il codice CVC/CVV all’interno di Google Chrome.
Questo cambiamento di comportamento arriva dopo l’aumento dell’attività nel mese di aprile e il passaggio a moduli a 64 bit, come rilevato da altri gruppi di ricerca sul malware. Una settimana dopo, Emotet ha iniziato a utilizzare i file di collegamento di Windows (.LNK) per eseguire comandi PowerShell per infettare i dispositivi delle vittime, allontanandosi dalle macro di Microsoft Office ora disabilitate per impostazione predefinita a partire dall’inizio di aprile 2022.
Chi è Emotet
Il trojan bancario Emotet è attivo almeno dal 2014 – la botnet è gestita da un attore di minacce identificato come TA542 – Ed è stato utilizzato anche per distribuire altri codici dannosi, come i trojan Trickbot e QBot, o ransomware come Conti, ProLock, Ryuk ed Egregor.
Ad aprile, gli operatori della botnet Emotet hanno iniziato a testare nuove tecniche di attacco in risposta alla decisione di Microsoft di disabilitare le macro di Visual Basic for Applications (VBA) per impostazione predefinita.
Hanno così utilizzato la nuova tecnica in una campagna Emotet di basso volume individuata da Proofpoint, che ha sfruttato un account di mittente compromesso e le email non sono state inviate dal modulo spam di Emotet. La campagna è stata osservata tra il 4 aprile 2022 e il 19 aprile 2022. I messaggi malevoli che mirano al furto dei dati delle carte di credito salvate, utilizzano parole semplici come oggetto, ad esempio “Salario“. I messaggi includono URL di OneDrive che puntano a file zip contenenti file Microsoft Excel Add-in (XLL).
