Dopo diversi mesi di inattività, la botnet Emotet ha ripreso l’attività di posta elettronica. Le e-mail dannose sembrano rispondere a catene di e-mail già esistenti, con l’aggiunta di un file .zip allegato (Figura 1). I file .zip non sono protetti da password e mostrano i temi caratteristici dei servizi di finanze e fatture.
Figura 1: e-mail Emotet di esempio con file .zip allegato.
I file .zip allegati a queste recenti e-mail di Emotet contengono un documento Office con macro (Figura 2). Una volta aperto, all’utente viene richiesto di “Abilitare il contenuto”, il quale consentirà l’esecuzione di macro dannose. Le macro scaricheranno a loro volta un Emotet .dll da un sito esterno e lo eseguiranno localmente sulla macchina.
Figura 2: Documento Office con macro per scaricare ed eseguire Emotet.
Non è chiaro quanto durerà questo giro di attività via email. Mentre un precedente ciclo di attività nel 2022 si è protratto per più settimane, l’ultimo ciclo si è verificato in meno di due settimane nel novembre 2022, con più di tre mesi di inattività su entrambi i lati.
