A ESET revelou as mais recentes atividades do infame Emotet desde o seu regresso à paisagem das ciberameaças no final de 2021.O Emotet é uma família de malware ativa desde 2014, operada por um grupo cibercriminoso conhecido como Mealybug ou TA542.
Embora tenha começado como um trojan bancário, o Emotet evoluiu mais tarde para uma rede de dispositivos online infetados com malware – ou botnet – tornando-se numa das ciberameaças mais prevalentes em todo o mundo.
Em janeiro de 2021, o Emotet foi alvo de um takedown limitado, em resultado de um esforço internacional e colaborativo de oito países, coordenado pela Eurojust e Europol. No entanto, o Emotet voltou ao ativo em novembro de 2021 com várias campanhas de spam, que terminaram abruptamente em abril de 2023. Nas suas últimas campanhas de 2022-2023, a maioria dos ataques detetados pela ESET visaram em particular o Sul da Europa e o Japão.
“O Emotet propaga-se através de emails de spam. Pode extrair informações e distribuir malware third-party a computadores comprometidos. Os operadores do Emotet não são muito exigentes quanto aos seus alvos, instalando o seu malware em sistemas pertencentes a indivíduos e empresas de todas as dimensões,” comentou a propósito o investigador da ESET Jakub Kaloč.
Ao longo do final de 2021 e até meados de 2022, o Emotet propagou-se principalmente através de documentos maliciosos do Microsoft Word e Microsoft Excel com macros VBA incorporados. Em julho de 2022, a Microsoft mudou as regras do jogo para todas as famílias de malware como o Emotet ao desativar os macros VBA em documentos obtidos na Internet.
“A desativação do principal vetor de ataque do Emotet fez com que os seus operadores procurassem novas formas de comprometer os seus alvos. O grupo Mealybug começou a fazer experiências com ficheiros LNK e XLL maliciosos. Em 2023, os operadores do Emotet executaram três campanhas distintas de spam malicioso (ou ‘malspam’), onde cada uma testava uma via de invasão e técnica de engenharia social ligeiramente diferentes,” continuou Kaloč. “No entanto, o tamanho cada vez menor dos ataques e as constantes mudanças na abordagem podem sugerir uma insatisfação com os resultados.”
Após o seu ressurgimento, o Emotet recebeu várias atualizações. As características mais assinaláveis foram o facto de o botnet ter mudado o seu esquema de encriptação e ter implementado várias novas técnicas de camuflagem para proteger os seus módulos. Os operadores do Emotet investiram esforços significativos para evitar a monitorização e o rastreio do seu botnet desde o seu regresso. Além disso, implementaram vários módulos novos e melhoraram os existentes para se manterem rentáveis.
O Emotet propaga-se através de emails de spam, e as pessoas confiam muitas vezes nesses emails porque utilizam com sucesso uma técnica de sequestro de threads de email. Antes do seu takedown, o Emotet usava módulos designados de Outlook Contact Stealer e Outlook Email Stealer, que eram capazes de roubar emails e informações de contacto do Outlook. No entanto, como nem todas as pessoas usam o Outlook, o Emotet pós-takedown também se concentrou numa aplicação de email alternativa gratuita (Thunderbird). Além disso, começou a usar o módulo Google Chrome Credit Card Stealer, que rouba informações de cartões de crédito armazenados no browser da Google.
De acordo com a investigação e telemetria da ESET, os botnets Emotet estão em silêncio desde o início de abril de 2023, muito provavelmente devido à descoberta de um novo vetor de ataque eficaz.
Para mais informação técnica, consulte a investigação no WeLiveSecurity.
