Emotet è uno dei malware più noti e pericolosi in assoluto. Le sue tracce erano scomparse dal mese di luglio, ma da alcuni giorni è tornato in attività con una nuova campagna di phishing. Tra le vittime ci sono anche utenti italiani, come dimostrano i nomi dei file inviati via email. LockBit invece è sempre uno dei ransomware più diffusi, come testimoniato dal recente attacco contro Continental.
Il ritorno di Emotet dopo quattro mesi di ferie
La nuova campagna di phishing è stata rilevata in diversi paesi. I cybercriminali inviano email con allegati Excel che sembrano fatture o altri documenti fiscali. Come è noto, quando un file viene scaricato da Internet, Microsoft aggiunge il flag Mark-of-the-Web (MoTW). All’apertura del documento Office viene quindi mostrato un avviso di sicurezza (Visualizzazione protetta). Gli autori dell’attacco hanno trovato un modo per ingannare le vittime.
Nella parte superiore è scritto che, per motivi di sicurezza, l’utente deve copiare il file Excel nella directory Templates
. Windows mostrerà un avviso per indicare la necessità dei permessi di amministratore, ma l’utente può cliccare sul pulsante Continua. Quando viene seguito il file, la macro presente nel foglio Excel scarica la DLL di Emotet, caricata in memoria dal comando regsvr32.exe
.
Il malware viene eseguito in background e si collega al server remoto per ricevere comandi e scaricare altri payload, ransomware inclusi. Fortunatamente le principali soluzioni di sicurezza, tra cui Norton 360 Premium, rilevano e bloccano i file infetti.
Il gruppo LockBit ha invece colpito Continental, noto produttore tedesco di pneumatici. I cybercriminali hanno minacciato di pubblicare i dati se l’azienda non pagherà il riscatto. Le informazioni rubate potrebbero essere il frutto dell’attacco subito da Continental a fine agosto.