L’allegato GZ della mail ne contiene uno zip protetto da password (non fornita nel testo), con all’interno un exe: il malware stesso. Non si sa quale sia il payload successivo.
Cybercrime, Emotet riprende le attività anche in Italia dopo la pausa di Natale
Analisi tecnica del Malware Hunter JAMESWT
Emotet riprende le attività anche in Italia dopo la pausa di Natale
Emotet riprende le sue attività dopo la pausa per il Natale, anche contro l’Italia. In queste ore circolano nuove ondate di email, che sfruttano sempre lo stesso schema: l’allegato compresso, protetto da password fornita nel testo, contiene un file word.
Questo, se aperto, contatta alcuni link e scarica da una delle tre botnet Epoch la dll o un exe che avvia la catena d’infezione. Ciò, grazie a uno script powershell, contenuto nel file doc. Emotet è un trojan bancario a cui sono stati aggiunti nel tempo moduli che gli consentono di rubare le password memorizzate nel software delle vittime, infettare altri computer collegati alla stessa botnet e riutilizzare le email per successive campagne di spam.