Secondo le rilevazioni di Proofpoint, Emotet ora ha un modulo pensato per raccogliere informazioni sulle carte di credito memorizzate nei profili degli utenti di Google Chrome. Dopo aver rubato le informazioni sulla carta di credito, il malware le invierà a server di comando e controllo (C2) diversi da quelli utilizzati dal modulo Emotet per rubare le carte. La scoperta di questo modulo Emotet lanciato dalla botnet E4, risale al 6 giugno, a opera dei ricercatori di Proofpoint Threat Insights.
Utenti di Google Chrome attenti alle carte di credito
Team Proofpoint Threat Insights “Con nostra grande sorpresa si trattava di un modulo pensato per sottrarre i dati delle carte di credito che prendeva di mira esclusivamente il browser Chrome. Una volta raccolti i dati della carta, questi venivano esfiltrati su server C2 differenti da quelli del loader.”
Un pericolo reale
Si tratta di un pericolo quanto mai concreto. Infatti sono molti gli utenti che per comodità salvano dati come numero della carta di credito e il codice CVC/CVV all’interno di Google Chrome. Questo cambiamento di comportamento arriva dopo l’aumento dell’attività nel mese di aprile e il passaggio a moduli a 64 bit. Una settimana dopo, Emotet ha iniziato a utilizzare i file di collegamento di Windows (.LNK) per eseguire comandi PowerShell per infettare i dispositivi delle vittime. Allontanandosi dalle macro di Microsoft Office ora disabilitate per impostazione predefinita a partire dall’inizio di aprile 2022.
Chi è Emotet
Il trojan bancario Emotet è attivo almeno dal 2014 e la botnet è gestita da un attore di minacce identificato come TA542. Ed è stato utilizzato anche per distribuire altri codici dannosi, come i trojan Trickbot e QBot. Oppure ransomware come Conti, ProLock, Ryuk ed Egregor. Ad aprile, gli operatori della botnet Emotet hanno iniziato a testare nuove tecniche di attacco. Questo in risposta alla decisione di Microsoft di disabilitare le macro di Visual Basic for Applications (VBA) per impostazione predefinita.
Emotet ruba i dati delle carte di credito agli utenti di Google Chrome
Hanno così utilizzato la nuova tecnica in una campagna Emotet di basso volume individuata da Proofpoint. Ha sfruttato un account di mittente compromesso e le email non sono state inviate dal modulo spam di Emotet. La campagna è stata osservata tra il 4 aprile 2022 e il 19 aprile 2022. I messaggi utilizzano parole semplici come oggetto, ad esempio “Salario“. I messaggi includono URL di OneDrive che puntano a file zip contenenti file Microsoft Excel Add-in (XLL).