Parece que o Emotet está de volta em abril, e com ele, seu antigo apelido de “o malware mais perigoso do mundo”. Pesquisadores estão notando diversas novas campanhas de phishing maliciosas, que usam e-mails roubados para propagar novas variações do software malicioso.
A última versão avançada do Emotet está mostrando comportamento preocupante ao captar eficazmente as credenciais roubadas, e estão sendo usadas para propagar ainda mais a infecção de binários Emotet. Isso foi destacado em um post de blog da semana passada do Deep Instinct, com base nas investigações do mais recente relatório de ameaças da HP Wolf Security.
“[Emotet] continua a empregar muitos dos mesmos métodos de invasão explorados no passado”, foi o que foi dito. “O difícil é que essas técnicas estão se tornando cada vez mais refinadas, conseguindo ignorar os mecanismos de prevenção de segurança padrão usados atualmente para identificar e bloquear este gênero de ações.”
Em abril deste ano, os ataques de malware Emotet voltaram após um hiato de 10 meses, relacionado ao TA542, um indivíduo que desde 2014 tem conseguido impulsionar o programa malicioso com êxito, segundo um estudo da Proofpoint.
Esses ataques – usados para propagar ransomware – diminuíram em fevereiro e março, atingindo vítimas no Japão, através de e-mails sequestrados, e “utilizando essas contas como um início para enganar as vítimas para permitir anexos de documentos de escritório com códigos maliciosos”, disse Everett da Deep Instinct.
Analisando as novas ameaças trazidas pelo Emotet em 2022, constatamos um aumento de quase 900% no uso de macros do Microsoft Excel se comparado ao último trimestre de 2021.
Emotet está de volta.
Em abril, os ataques se espalharam para além do Japão, revelando um grau maior de sofisticação por parte de Emotet, de acordo com o Deep Instinct. Estes incidentes também sinalizam uma aceleração na atividade.
Emotet, além de outras ameaças, ainda aproveita um erro do Office de há mais de duas décadas, corrigido em 2017 (CVE-2017-11882), sendo que quase 20% das amostras detectadas pelos pesquisadores exploraram esse defeito. A vulnerabilidade de corrupção de memória do Microsoft Office permite que um invasor execute comandos aleatórios.
Aproximadamente nove por cento das novas variantes de Emotet detectadas nunca foram vistas anteriormente. De acordo com o Deep Instinct, cerca de 14 por cento dos e-mails recentes distribuindo o malware passaram por pelo menos um scanner de segurança de gateway de e-mail antes de ser detectado.
Ainda segundo o Deep Instinct, Emotet usa principalmente anexos maliciosos em suas campanhas de phishing, com 45% dos casos de malware detectados sendo executados por algum tipo de anexo Office. Dentre esses anexos, 33% eram planilhas, 29% eram executáveis e scripts, 22% eram arquivos e 11% eram documentos.
Outras variações importantes na última versão do Emotet é seu emprego de shell de 64 bits, juntamente com scripts PowerShell mais sofisticados e atividades maliciosas, de acordo com Deep Instinct.
Conto de uma preocupação presente em todos os lugares
Em 2014, Emotet começou sua sinistra ação como um vírus bancário, sendo seus criadores um dos primeiros grupos de criminosos a oferecer malware como serviço (MaaS), de acordo com Deep Instinct.
Ao longo dos anos, o Trojan se desenvolveu até se transformar em um mecanismo de entrega de ameaças completo, capaz de instalar diversos tipos de malware em computadores de vítimas, tais como roubo de dados, coletores de e-mails, sistemas de autopropagação e criptografia de dados. Os malware Trickbot, Ryuk e Conti, frequentemente associados a Emotet, aproveitam do software malicioso para obter acesso inicial a sistemas direcionados.
Em janeiro de 2021, a ação colaborativa de lei internacional de uma rede de centenas de servidores de botnet aparentemente colocou Emotet fora de ação. No entanto, como tem sido comum entre grupos criminosos cibernéticos, os operadores reagruparam-se e parecem estar operando novamente com plena força, informaram os pesquisadores.
Em novembro de 2021, quando o Emotet reapareceu, estava sendo distribuído pelo seu colaborador Trickbot. Cryptolaemus, G DATA e AdvIntel, equipes de investigação, perceberam que o trojan havia lançado um carregador novo, indicando o seu regresso ao cenário de ameaças.
Altere: Difunda este artigo.
- Malware é um programa malicioso que tem como objetivo roubar dados confidenciais.
