Emotet, nuovamente attivo il malware che prosciuga il conto bancario

Emotet

E’ nuovamente in arrivo in Italia il malware Emotet che prosciuga il conto bancario degli utenti che cadono nella trappola

Emotet

Il ricercatore di sicurezza JAMESWT ha annunciato di essersi imbattuto in un pericoloso malware bancario russo chiamato Emotet che già nei mesi passati ha colpito diversi utenti. In Italia questa campagna è in atto da diversi giorni.

L’attacco si manifesta attraverso una email di phishing proveniente da un indirizzo reale ma compromesso, il quale contiene un allegato con uno script che scarica il virus dalla rete computer zombie Epoch 2. Il testo del messaggio, scritto correttamente in italiano, è il seguente: “Buon pomeriggio, sono andata al laboratorio Giovanni Paolo I per informarmi del tampone: bisogna essere presenti al mattino presto 6.30, perché aprono alle 7 e la fila è lunga non ho potuto fare di più mi dispiace. Allego l’impegno di spesa. In attesa di risentirci la saluto”.

Queste parole sono basate su tecniche di ingegneria sociale che rendono il testo credibile. Ad essere pericoloso però è il file Zip allegato, all’interno del quale c’è un documento Microsoft Word con cui si invita ad aggiornare il pacchetto Office. Una vola aperto questo file, appare uno script che va a scaricare un virus verso e proprio da server localizzati in diversi paesi del mondo.

Come Emotete prosciuga il conto in banca

Emotet, conosciuto anche come Geodo o Mealybug, fin dal 2014 punta a rubare le credenziali bancarie degli utenti che dopo pochi giorni dall’infezione vedono il proprio conto prosciugarsi. Il meccanismo del virus è quello di “spiare” l’utente mentre le inserisce. Inoltre, Emotet parallelamente trasforma il pc in una macchina all’interno di tre botnet: Epoch 1, Epoch 2 ed Epoch 3. Da qui il malware continua poi a propagarsi. Si consiglia dunque di fare molta attenzione e di evitare di aprire file sconosciuti, in ogni caso.