Emotet è un trojan bancario famoso per avere una struttura a moduli, un sistema di diffusione più da wormche da malware e una lunga serie di "trucchetti" per garantirsi la persistenza sul sistema. E' una vecchia conoscenza, diffuso solitamente tramite campagne di spam che sfruttano l'ingegneria sociale per rendere credibili i propri messaggi per ingannare le vittime. Talvolta "non arriva da solo", nel senso che funge anche da downloader di altri malware secondari. E' ritenuto un malware molto pericoloso, al punta da essere stato oggetto di un avviso di sicurezza mirato, nel Luglio 2018, da parte del CERT statunitense. 

 

L'ultima campagna risulta avviata il 5 Novembre di quest'anno, dopo un lungo periodo di attività quasi inesistente (al punto che qualche ricercatore aveva azzardato l'ipotesi che Emotet fosse stato abbandonato).  Ad oggi la campagna sembra concentrarsi sul continente americano, nel Regno Unito, in Turchia e in Sud Africa, ma si registrano infezioni anche in altri stati Europei, con la Germania al secondo posto dopo il Regno Unito per numero di infezioni. Le infezioni in Italia per ora sono pochissime, ma nulla impedirebbe agli attori dietro Emotet di puntare il mirino anche sul nostro Paese. 

 

Emotet in questa campagna usa allegati dannosi Word o PDF camuffati per notifiche di pagamento, fatture, avvisi urgenti riguardanti conti bancari ecc... tutti apparentemente provenienti da aziende o enti legittimi e realmente esistenti. Più raramente queste email contengono collegamento a file remoti dannosi. Stando ai contenuti delle email, gli utenti target sembrano essere quelli di lingua inglese e tedesca. 

 

 

Se la vittima apre il file Word o PDF collegato alla email seguendo le istruzioni ricevute, attiva la macro dannosa. A questo punto viene installato ed eseguito il payload di Emotet, che, dopo essersi garantito la persistenza sul sistema infetto, comunica al server C&C il successo dell'infezione: il server C&C risponde con ulteriori comandi, tra i quali nuovi moduli da implementare e payload secondari da scaricare sul sistema. 

Ogni modulo aggiuntivo aumenta le funzionalità di Emotet, ne rende più efficace la diffusione nella rete e la capacità di furto di informazioni e lo abilita alla ricerca di porte aperte per propagare ulteriormente l'infezione.