Kryptos Logic: Il trojan bancario/botnet Emotet è tornato in circolazione anche in Italia, in una nuova variante per il cyber spionaggio
Il trojan bancario/botnet Emotet è tornato in circolazione anche in Italia in una nuova variante per il cyber spionaggio. Lo hanno scoperto i ricercatori di cyber security di Kryptos Logic. Il nuovo malware, tramite un modulo integrato, scarica le comunicazioni inviate-ricevute negli ultimi 180 giorni dal client Outlook. Il “vecchio”, invece lo utilizzava per rubare l’elenco dei contatti. Lo fa controllando la configurazione del Microsoft Outlook Messaging API (MAPI) e, in particolare, compiendo alcune verifiche: se la chiave di registro HKLM\Software\Clients\Mail\Microsoft Outlook è stata visitata e se il valore DllPathEx (il percorso del modulo mapi32.dll) è definito. In caso contrario, il codice malevolo interrompe la sua azione. Peraltro, la nuova versione del trojan, a differenza del passato, è anche in grado di rubare l’oggetto e il corpo della mail oltre che il destinatario e il mittente. Infine, può catturare qualsiasi messaggio presente nelle sottocartelle dell’interpersonal message (IPM) root folder.
Il CERT-PA: Attenzione, Emotet è una delle botnet più avanzate mai create e rappresenta una seria minaccia
Emotet è una delle botnet più avanzate mai create e rappresenta una seria minaccia. Lo ricorda il CERT della Pubblica Amministrazione (CERT-PA) in Italia. Secondo i ricercatori di Kryptos Logic è molto probabile che il trojan bancario, anche grazie al modulo DLL implementato, raccoglierà innumerevoli e-mail su decine di migliaia di sistemi infetti. Questa enorme quantità di dati raccolta può rappresentare un’arma pericolosa. Ciò in quanto fornisce agli attaccanti capacità di analisi sui dati. Elemento da non sottovalutare, viste le conseguenze dovute ai furti di posta elettronica nel recente passato. Peraltro, dalla mappa pubblicata sul proprio sito dal CERT-PA e dall’azienda, sembra che il nuovo malware abbia preso di mira anche il nostro paese. Sicuramente per azioni di cyber spionaggio, ma forse anche per incrementare la botnet e per lanciare futuri attacchi informatici a scopo di profitto.