Emotet

O Emotet começou como um Trojan bancárioem algum ponto de 2014, mas se transformou em muito mais. Hoje em dia, tornou-se uma das rede de bots e instaladoras de malware de aluguel mais perigosas no mundo. Para monetizar completamente os ataques, o Emotet geralmente lança novos Trojans bancários, coletores de e-mail, mecanismos de auto-propagação, ladrões de informações e até ransomware.

Os pesquisadores de segurança observaram que os atores de ameaças por trás do Emotet tiraram férias de verão, a partir de junho de 2019, em que até as atividades de comando e controle (C2) pararam. No entanto, quando os meses de verão começaram a terminar, os pesquisadores de segurança começaram a observar um aumento na atividade da infraestrutura C2 do Emotet. Em 16 de setembro de 2019, o Emotet já está em pleno andamento com uma campanha de spam revigorada, contando com engenharia social. Além disso, os especialistas encontraram casos em que o Emotet espalhou ativamente o Trojan TrickBot, que é usado para roubar informações confidenciais que podem ser aproveitadas pelos hackers do Emotet para descobrir se a vítima é um alvo viável. O TrickBot, junto com o Emotet, também é um agente que levou à propagação e direcionamento do Ryuk Ransomware, uma forma agressiva de malware que criptografa arquivos em um sistema infectado enquanto exige que o usuário do computador pague um resgate para que os arquivos sejam restaurados.

O Emotet Entra em um Hiato Novamente em 2020

Os cibercriminosos que executam o Emotet também tiraram uma folga em 2020. Dessa vez, o hiato durou 5 meses, de março a julho. A atividade do Emotet foi retomada em agosto e no início de setembro o Emotet estava de volta com força total. Tanto é verdade que o CERTs (equipe de resposta a emergências de computadores) de três países tiveram que emitir avisos específicos sobre ataques do Emotet. Os países-alvo foram Nova Zelândia, Japão e França. Os dois primeiros viram aumentos significativos em infecções e ataques, com o CERT Japão relatando que as detecções triplicaram em uma semana. Na França, a atividade foi mais moderada, mas o suficiente para justificar uma reação do CERT. Algumas semanas depois, a Microsoft também emitiu um alerta sobre a Emotet, assim como agências da Itália e da Holanda.

Gráfico das taxas de aumento de infecções pelo Trojan Emotet - fonte: JPCERT.or.jp

O Emotet aderiu ao movimento dos anexos protegidos por senha com uma campanha que começou na sexta-feira. A campanha desacelerou no fim de semana (típico do Emotet), mas voltou hoje com volumes ainda maiores de e-mails em inglês, bem como em alguns idiomas europeus. pic.twitter.com/POppQ51uMX

— Microsoft Security Intelligence (@MsftSecIntel) September 22, 2020

O Emotet Ataca os Usuários de Computador através de Campanhas de Email de Spam Atraentes

Uma das maneiras mais engenhosas e ameaçadoras pelas quais as vítimas do Emotet foram infectadas foi através do conteúdo de email roubado. O malware desliza na caixa de entrada da vítima e copia as conversas existentes, que serão usadas em seus próprios e-mails. O Emotet citará os corpos das mensagens reais em uma "resposta" ao email não lido da vítima, em uma tentativa de induzi-los a abrir um anexo com malware, geralmente sob o disfarce de um documento do Microsoft Word.

Caminhos do processo de infecção do Tojan Emotet - fonte: US-CERT.cisa.gov

Não é preciso muita imaginação para ver como alguém que espera uma resposta a uma conversa em andamento pode ser enganado dessa maneira. Além disso, imitando conversas de email existentes, incluindo conteúdo de email genuíno e cabeçalhos de Assunto, as mensagens se tornam muito mais aleatórias e desafiadoras para serem filtradas pelos sistemas anti-spam.

O interessante é que o Emotet não usa o email do qual roubou conteúdo para enviá-lo a uma vítima em potencial. Em vez disso, envia a conversa levantada para outro bot na rede, que envia o email de um local totalmente diferente, usando um servidor SMTP de saída completamente separado.

Segundo os pesquisadores de segurança, a Emotet usou conversas de email roubadas em cerca de 8,5% das mensagens de ataque antes do hiato de verão. Desde que a temporada de férias chegou ao fim, no entanto, essa tática se tornou mais proeminente, respondendo por quase um quarto de todo o tráfego de e-mails de saída do Emotet.

Mensagens Políticas

Até 2020, os operadores do Emotet se mantiveram longe de quaisquer temas abertamente políticos. No entanto, com as eleições presidenciais crescendo no horizonte, as campanhas presidenciais ficaram quentes demais para serem ignoradas. Em agosto de 2020, o Emotet lançou uma campanha de phishing, aproveitando a atenção conquistada pelo presidente dos EUA. Os cibercriminosos enviaram e-mails com o assunto: "Fwd: Breaking: President. Trump suspende financiamento para a OMS." O corpo do e-mail foi, na verdade, retirado literalmente de um remetente legítimo do PAC, no entanto, continha o documento Word malicioso usual. Essa campanha não deve ser mal interpretada como um ato de tomada de posição política assim que a Emotet lançar outra campanha de phishing, desta vez visando os democratas. Os e-mails de phishing daquela campanha tinham como assunto: "Team Blue Take Action". O corpo dos e-mails foi retirado do site do Comitê Nacional Democrata, que é uma organização legítima. Embora essas duas campanhas de phishing não revelem a afiliação política dos operadores do Emotet (se houver), elas correspondem ao modus operandi dos cibercriminosos de escolher qualquer tema que considerem popular o suficiente.

Os Cibercriminosos Aproveitam o Emotet para Roubar Dados Pessoais

As ferramentas à disposição dos cibercriminosos que procuram roubar informações pessoais dos computadores são praticamente infinitas. Acontece que o Emotet é um tipo de ameaça de malware altamente eficaz para alavancar uma maneira de lancar campanhas de email em massa que espalham um malware projetado para roubar dados de um usuário de computador inocente. A maneira pela qual o Emotet funciona é abrir um backdoor para outras ameaças de alto risco ao computador, como o Trojan Dridex, projetado especificamente para roubar dados de um usuário de computador usando técnicas de phishing agressivas.

Esta Semana em Malware Video: Episódio 1 cobrindo a campanha de ameaça tripla do Emotet, Trickbot e Ryuk Ransomware estão roubando e resgatando dados.

Quando usado pelo tipo certo de hacker ou cibercriminoso, o Emotet pode ser usado para se infiltrar em um computador e carregar e instalar várias ameaças de malware. Mesmo assim, as ameaças instaladas adicionalmente podem ser mais perigosas, onde podem se conectar a servidores de comando e controle (C&C) para baixar instruções a serem executadas no sistema infectado.

Os Efeitos do Emotet Nunca Devem ser Tomados de Ânimo Leve

Em qualquer caso de uma ameaça de malware tão abrangente quanto o Emotet, os usuários de computador devem tomar as precauções necessárias para impedir um ataque. Por outro lado, aqueles que foram atacados pelo Emotet desejam encontrar o recurso necessário para detectar e eliminar com segurança a ameaça. Se alguém permitir que o Emotet seja executado em um computador por um longo período de tempo, o risco de ter dados roubados será aumentado exponencialmente.

Os usuários de computador que podem atrasar a eliminação do Emotet ou tomar as devidas precauções colocam em risco seus dados pessoais armazenados no PC, o que pode levar a problemas sérios, como roubo de identidade. Além disso, o Emotet é uma ameaça difícil de detectar, que é um processo feito principalmente por um recurso ou aplicativo anti-malware atualizado.

Em todos os momentos, os usuários de computador devem ter cuidado ao abrir emails com anexos, especificamente aqueles que contêm anexos na forma de documentos do Microsoft Word, que é conhecido por ser um método que o Emotet usa para espalhar malware.

O Retorno do Emotet

Em um ponto de 2019, os servidores de Comando e Controle do Emotet foram fechados, deixando os sistemas infectados pela ameaça livres de estar sob o controle dos autores por trás do Emotet. No entanto, não muito depois do desligamento dos servidores da C&C, o Emotet voltou dos mortos, onde os hackers não apenas obtiveram o controle do Emotet, mas também estão usando sites legítimos para espalhar a ameaça por meio de campanhas de spam, primeiro invadindo os sites.

Os desenvolvedores do Emotet têm como alvo cerca de 66.000 endereços de email para mais de 30.000 nomes de domínio, muitos desses domínios pertencentes a sites legítimos que foram invadidos. Alguns dos sites legítimos atacados pelos criadores do Emotet são os seguintes:

• biyunhui[.]com
• broadpeakdefense[.]com
• charosjewellery[.]co.uk
• customernoble[.]com
• holyurbanhotel[.]com
• keikomimura[.]com
• lecairtravels[.]com
• mutlukadinlarakademisi[.]com
• nautcoins[.]com
• taxolabs[.]com
• think1[.]com

Fundamentalmente, veremos um aumento nas infecções por malware com a mesma certeza de que o tempo avança. Como observaram os pesquisadores da Cisco Talos: "Quando um grupo de ameaças fica em silêncio, é improvável que eles se retirem para sempre", elaborando: "Em vez disso, isso abre a oportunidade para um grupo de ameaças retornar com novos COI, táticas, técnicas e procedimentos ou novas variantes de malware que podem evitar a detecção existente".

SpyHunter detecta e remove Emotet