Emotet nasce come un #trojan bancario, ma è stato in grado di evolversi e diventare la più grande #botnet in attività.

Ha sviluppato un meccanismo di diffusione particolare e prontamente adottato anche da altri competitor come #Quakbot o #Maze.
La tecnica utilizzata si chiama #Thread #hijacking ed è alquanto geniale nella sua semplicità.

Quando viene compromesso un account email, tutte la corrispondenza della mailbox viene esfiltrata ed inviata al #C2.

Gli attaccanti poi si inseriscono in comunicazioni già esistenti allegando alle nuove email documenti - generalmente office - infetti.
Per intenderci, fanno semplicemente un replay delle email esfiltrate con qualche piccole aggiunte!
L'hit rate di questa corrispondenza è elevatissima al punto che quest'anno il ministero degli interni francese ha addirittura bloccato tutta la corrispondenza con questo tipo attach.

Questa botnet è stata definitivamente chiusa agli inizi dal 2021 da una vasta operazione ad opera dell'Interpol e da pochi giorni sono stati definitivamente disinstallati tutti gli zombie infetti.

Tweet