La botnet Emotet torna alla ribalta con un modulo specificamente pensato per raccogliere informazioni sulle carte di credito memorizzate nei profili degli utenti di Google Chrome.
Dopo aver rubato le informazioni sulla carta di credito (ad esempio, nome, mese e anno di scadenza, numeri di carta), il malware le invierà a server di comando e controllo (C2) diversi da quelli utilizzati dal modulo Emotet per rubare le carte.
La scoperta di questo modulo Emotet lanciato dalla botnet E4, risale al 6 giugno, a opera dei ricercatori del team Proofpoint Threat Insights, che hanno dichiarato: “Con nostra grande sorpresa si trattava di un modulo pensato per sottrarre i dati delle carte di credito che prendeva di mira esclusivamente il browser Chrome. Una volta raccolti i dati della carta, questi venivano esfiltrati su server C2 differenti da quelli del loader.”
Si tratta di un pericolo quanto mai concreto, visto che sono molti gli utenti che per comodità salvano dati come numero della carta di credito e il codice CVC/CVV all’interno di Google Chrome.
Questo cambiamento di comportamento arriva dopo l’aumento dell’attività nel mese di aprile e il passaggio a moduli a 64 bit, come rilevato da altri gruppi di ricerca sul malware. Una settimana dopo, Emotet ha iniziato a utilizzare i file di collegamento di Windows (.LNK) per eseguire comandi PowerShell per infettare i dispositivi delle vittime, allontanandosi dalle macro di Microsoft Office ora disabilitate per impostazione predefinita a partire dall’inizio di aprile 2022.
