Nuove campagne Emotet prendono di mira Office

Nuove campagne Emotet prendono di mira Office

Nelle scorse ore è stata scoperta una nuova campagna Emotet che sta volta prende di mira proprio Office. Ma vediamo più nel dettaglio di cosa si tratta.

Nuove campagne Emotet

Il malware Emotet torna a colpire ancora gli utenti Office che sta volta i malcapitati che aprono il documento Word infetto contenuto nelle email di spam vengono invitati ad aggiornare il programma di Office tramite un finto pulsante nel documento che scaricherà invece il malware Emotet sul PC.

Per essere più precisi bisogna dire che queste campagne di spam fingono di essere fatture, informazioni di spedizione, informazioni COVID-19, informazioni sulla salute del presidente Trump , curriculum, o ordini di acquisto, come mostrato di seguito.

Example Emotet spam email
Esempio di e-mail di spam Emotet

Allegato a queste e-mail di spam sono allegati di Word (.doc) dannosi o collegamenti per scaricare uno.

Una volta aperto, questi allegati chiederanno all’utente di ‘Abilitare il contenuto’ in modo che le macro dannosi verranno eseguite per installare il malware Emotet sul computer di una vittima.

Per indurre gli utenti ad abilitare le macro, Emotet utilizza vari modelli di documento.

Con il suo ritorno all’attività, Emotet è passato a un nuovo modello che finge di essere un messaggio da Windows Update che indica che Microsoft Word deve essere aggiornato prima che il documento possa essere visualizzato.

Per aggiornare Word, il messaggio indica all’utente di fare clic sui pulsanti Abilita modifica e Abilita contenuto, che causeranno l’applicazione di macro dannose,

New 'Windows Update' Emotet attachment

Queste macro dannosi scaricherà e installerà il malware Emotet sul computer di una vittima, come mostrato di seguito.

Emotet malware installed in Windows
Esempio di Emotet installato in Windows
Leggi  Le ultime novità di Windows 10 Insider Preview build 19042.508 (20H2)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *