[Articolo aggiornato a seguito di ulteriori accertamenti]

L’indirizzo PEC visibile nell’e-mail è reale e la campagna sembra essere partita da un indirizzo IP localizzato in Nuova Zelanda. L’account PEC è uno dei tanti indirizzi utilizzati per questa campagna ma non risulta essere stato utilizzato per inoltrare massivamente la campagna verso altre utenze PEC.

Il testo, scritto in lingua spagnola, indirizzato verso utenze non PEC, invita la vittima a visionare il documento proposto in allegato, un file ZIP protetto da una password riportata nel corpo del messaggio.

La campagna risale a mercoledì 13 gennaio alla quale ha fatto seguito una campagna in lingua italiana rilevata nella giornata di giovedì 14.

Molto probabilmente gli autori di Emotet utilizzano, nelle loro campagne, mittenti con indirizzi e-mail dei quali hanno alla storia di precedenti comunicazioni (perchè precedentemente compromessi).

Sono in corso ulteriori indagini.

Indicatori di compromissione

Il Cert-AgID ha già condiviso gli IoC attraverso la sue piattaforme per favorirne la loro diffusione.

Al fine di rendere pubblici i dettagli di queste due campagne Emotet si riportano di seguito gli indicatori rilevati:

Link: Download IoC