Emotet è tornato in Italia
emotet
![](https://cert-agid.gov.it/wp-content/uploads/2022/11/Schermata-del-2022-11-02-10-48-45.png)
Risale al 15 luglio 2022 l’ultima campagna Emotet osservata in Italia ed oggi, dopo circa 4 mesi di pausa, si è avuta evidenza di una nuova campagna massiva con target italiani volta a veicolare tramite email un allegato ZIP protetto da password e contenente un XLS dotato di macro malevola.
![](https://cert-agid.gov.it/wp-content/uploads/2022/11/xls_emotet_02112022.png)
![](https://cert-agid.gov.it/wp-content/uploads/2022/11/xls_emotet_url_02112022.png)
La catena di infezione non è cambiata. Le quattro dropurl utilizzate dalla macro, parzialmente leggibili direttamente dal file XLS, puntano al download della solita DLL (64bit) Emotet che viene eseguita utilizzando il classico comando regsvr32.
![](https://cert-agid.gov.it/wp-content/uploads/2022/11/emotet_02-11-2022.jpg)
I C2 rilevati sono 58, da un confronto a campione con le campagne precedenti quasi tutti gli IP sono già stati utilizzati nella botnet Emotet denominata Epoch4.
![](https://cert-agid.gov.it/wp-content/uploads/2022/11/Schermata-del-2022-11-02-10-45-43.png)
Indicatori di Compromissione
Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioni accreditate al flusso IoC del CERT-AgID.
Link: Download IoC