Emotet retorna e é propagado por e‑mails com anexos maliciosos

Após a derrubada do Emotet no início deste ano, a botnet voltou através de campanhas de malspam que contêm diferentes tipos de anexos maliciosos.

Após a derrubada do Emotet no início deste ano, a botnet voltou através de campanhas de malspam que contêm diferentes tipos de anexos maliciosos.

Em janeiro de 2021, uma operação liderada pela Europol e Interpol conseguiu derrubar a botnet Emotet, um dos malwares mais prevalentes nos últimos anos que esteve em operação desde 2014 e que causou prejuízos econômicos estimados em aproximadamente US$2.500 milhões. No total, cerca de 700 servidores de comando e controle (C&C) usados ​​por atacantes para comprometer computadores e lançar novas campanhas maliciosas foram desconectados como parte da operação e foi possível observar uma queda acentuada nas atividades da botnet. No entanto, apesar dos esforços, no último dia 14 de novembro, foi detectada uma nova campanha de malspam que propaga o trojan Trickbot, que em seguida baixa uma DLL maliciosa correspondente ao Emotet em uma segunda instância.

O tweet a seguir postado por SANS mostra a cadeia de infecção da nova versão da botnet Emotet.

Essas novas campanhas de malspam contêm anexos que podem ser apresentados em três formatos diferentes:

  • Arquivos do Microsoft Excel (.xlsm);
  • Arquivos do Word (.docm);
  • Arquivos compactados em formato ZIP protegidos por senha e que incluem um arquivo Word.

Embora tenha sido possível observar a propagação do Emotet através do Trickbot, alguns pesquisadores já confirmaram a circulação de novas campanhas através de e-mails que descarregam o Emotet de forma direta, o que pode ser um sinal de que a infraestrutura da ameaça tem sido desenvolvida.

Assim como explicou o pesquisador Cryptolaemus, que há muito tempo acompanha a atividade do Emotet, a nova versão analisada apresenta algumas modificações em relação às anteriores. Uma delas é que a ameaça agora conta com sete comandos que ampliam as possibilidades de download de binários.

A organização Abuse.ch apresentou uma lista de servidores C&C para que sejam bloqueados, o que pode gerar uma melhor proteção contra o Emotec.

Vale lembrar que o Emotet já foi usado como uma infraestrutura de malware como serviço (MaaS, sigla em inglês) para propagar outras ameaças. Embora neste ressurgimento o Trickbot esteja distribuindo o Emotet, antes da interrupção de sua infraestrutura, o Emotet distribuiu o Trickbot, que por sua vez foi usado para baixar alguns ransomware, como Ryuk ou Conti.

Newsletter

Discussão