.
Emotet está de volta. Após mais uma pausa de meses desde uma série de ataques em novembro de 2022, a notória operação de malware que já sobreviveu a uma derrubada da polícia e a vários períodos de inatividade começou a enviar e-mails maliciosos na manhã de terça-feira.
Pesquisadores das empresas de segurança cibernética Codefense e Cryptolaemus, que rastreiam a atividade do Emotet, relataram um início repentino no spam da botnet. E o grupo de inteligência de ameaças Unit 42 da Palo Alto Networks tuitou sobre a nova atividade, com os pesquisadores dizendo que “também viram novos #Emotet #malspam e o malware associado (documentos do Word inflados e arquivos DLL do Emotet inflados)”.
Não se sabe por que a operação começou agora após três meses sem atividade, ou quanto tempo vai durar – o spam anterior em novembro de 2022 durou duas semanas antes de tudo parar, e mesmo isso foi precedido por três meses de silêncio.
No entanto, o retorno do Emotet gerou muita discussão no mundo da cibersegurança sobre o malware que há menos de um ano foi classificado pela Check Point como o maior principal ameaça cibernética.
“Nós estamos vendo [Emotet’s] Modelos do Red Dawn que são muito grandes chegando a mais de 500 MB”, Cryptolaemus tuitou sobre a vinculado à Rússia operação de malware. “Atualmente vendo um fluxo decente de spam … Prepare-se porque aí vem documentos gordos do Ivan!”
Uma ameaça em evolução
O Emotet começou a vida há quase uma década como um trojan bancário, mas logo evoluiu para um malware distribuído por meio de campanhas de spear phishing, incluindo e-mails que contêm anexos maliciosos do Microsoft Word e Excel. Em Janeiro de 2021a aplicação da lei dos EUA, Reino Unido, Europa e Ucrânia desmontaram a infraestrutura da operação, mas o grupo ressurgiu 10 meses depois.
“O malware e os agentes retomaram as operações com força total e voltaram a se tornar uma das principais famílias de malware usadas em ataques de phishing”, escreveu a empresa de segurança cibernética AttackIQ em um relatório mês passado.
Um dos atributos do Emotet tem sido sua flexibilidade nos tipos de anexos usados para evitar assinaturas de detecção, de acordo com o AttackIQ.
Codefense escreve que os e-mails maliciosos enviados esta semana parecem estar respondendo a cadeias de e-mail já existentes, com arquivos ZIP que não são protegidos por senha, e tentam atrair possíveis vítimas a abri-los, se passando por documentos financeiros ou faturas.
Os arquivos ZIP contêm um documento do Office com macros que, uma vez abertos, avisa a vítima para “Habilitar Conteúdo”. Isso permitirá que as macros maliciosas sejam executadas e baixem uma Emotet DLL de outro site e execute-a na máquina.
No passado, uma vez que o malware estava em execução no sistema, era conhecido – às vezes depois de esperar por um período de tempo – para roubar credenciais e informações pessoais e baixar outro código malicioso. Em novembro, foram indicações estava entregando o conta-gotas de malware IcedID e o carregador Bumblebee.
De acordo com o AttackIQ, o Emotet também atua como malware-as-a-service, vendendo acesso a sistemas comprometidos para outros malfeitores, que carregariam seu próprio malware por meio dos canais de comando e controle criados pelas infecções do Emotet.
Corrigir esses sistemas
O retorno do Emotet também tem especialistas em segurança lembrando as empresas das medidas que devem tomar para se proteger contra o Emotet e ameaças cibernéticas semelhantes, incluindo manter os sistemas atualizados, corrigir vulnerabilidades e treinar a equipe para ser cautelosa antes de abrir um anexo.
“Mecanismos de detecção tradicionais, incluindo aqueles incorporados em plataformas de e-mail como o Office365, lutam para identificar esses trojans à medida que evoluem a uma velocidade vertiginosa”, disse Dror Liwer, cofundador da empresa de segurança Coro. Strong The One.
Liwer acrescentou que no centro de uma abordagem holística da segurança cibernética devem estar os funcionários: “Treinamento, simulações de incêndio e simulações devem ser realizados regularmente, não uma vez por ano”.
Will LaSala, CTO de campo do grupo de segurança cibernética OneSpan, chamou o Emotet de “uma variante perigosa de malware móvel”, dizendo Strong The One que eles “são projetados para atacar organizações e mercados específicos, como o espaço financeiro. O malware móvel está sempre mudando e pode mudar rapidamente e ser reimplantado para atacar novas verticais a qualquer momento”.
Um ponto interessante sobre a última campanha do Emotet é que ele procura tirar proveito das macros nos documentos maliciosos da Microsoft. No entanto, a Microsoft no ano passado começou bloqueio Macros do Visual Basic for Application (VBA) por padrão no Word, Excel e outros arquivos baixados da Internet para fechar um caminho popular para grupos de ameaças. Agora, os usuários que desejam abrir esse arquivo são recebidos por um aviso sobre o risco de fazê-lo.
A mudança forçou os malfeitores a mudar suas estratégias, visando outras ferramentas como os suplementos DLL do Excel, que a Microsoft também começou a usar. bloquear da internet. ®
.
