O Emotet, um perigoso malware que tem assolado o ciberespaço desde 2014, voltou à cena das ameaças cibernéticas. A ESET, uma empresa líder em soluções de cibersegurança, tem acompanhado de perto as atividades do Emotet desde o seu ressurgimento no final de 2021.
Operado por um grupo cibercriminoso conhecido como Mealybug ou TA542, o Emotet tem como alvo tanto indivíduos como empresas de todas as dimensões.
Evolução e Ataques
Inicialmente, o Emotet era um trojan bancário. No entanto, evoluiu para uma rede de dispositivos online infetados com malware, também conhecida como botnet, tornando-se uma das ameaças cibernéticas mais prevalentes a nível global. Após um esforço internacional de oito países, o Emotet foi temporariamente desativado em janeiro de 2021. Contudo, voltou ao ativo em novembro de 2021, lançando várias campanhas de spam que terminaram abruptamente em abril de 2023. Durante as suas últimas campanhas de 2022-2023, a maioria dos ataques detetados pela ESET visaram o Sul da Europa e o Japão.
Métodos de Propagação
O Emotet propaga-se através de emails de spam, extrai informações e distribui malware de terceiros a computadores comprometidos. Durante o final de 2021 e até meados de 2022, o Emotet propagou-se principalmente através de documentos maliciosos do Microsoft Word e Microsoft Excel com macros VBA incorporados. No entanto, em julho de 2022, a Microsoft alterou as regras, desativando os macros VBA em documentos obtidos na Internet, o que levou os operadores do Emotet a procurar novas formas de comprometer os seus alvos.
Atualizações e Técnicas de Camuflagem
Desde o seu ressurgimento, o Emotet recebeu várias atualizações. Mudou o seu esquema de encriptação e implementou várias novas técnicas de camuflagem para proteger os seus módulos. Os operadores do Emotet têm feito esforços significativos para evitar a monitorização e o rastreio do seu botnet. Implementaram vários módulos novos e melhoraram os existentes para se manterem rentáveis.
Ameaças Atuais
O Emotet propaga-se através de emails de spam, e muitas vezes as pessoas confiam nesses emails porque utilizam com sucesso uma técnica de sequestro de threads de email. O Emotet pós-desativação também se concentrou numa aplicação de email alternativa gratuita (Thunderbird) e começou a usar o módulo Google Chrome Credit Card Stealer, que rouba informações de cartões de crédito armazenados no browser da Google.
Silêncio dos Botnets
De acordo com a investigação e telemetria da ESET, os botnets Emotet estão em silêncio desde o início de abril de 2023, muito provavelmente devido à descoberta de um novo vetor de ataque eficaz.
Para mais informação técnica, consulte a investigação no WeLiveSecurity.
Outros artigos interessantes: