Em 2021, a rede em torno do Emotet foi desfeita. Mas isso não significa que o Emotet tenha desaparecido completamente da web. Pelo contrário: sempre há indícios de que o grupo em torno do Emotet está buscando novas vias de ataque.
Desde o seu retorno, o Emotet apareceu em várias campanhas de spam. Mealybug, o grupo de hackers por trás da botnet, desenvolveu vários novos módulos e revisou os existentes. Os mentores por trás do Emotet aprenderam muito com a queda de dois anos atrás e investiram muito tempo para impedir que seu botnet fosse descoberto.
A infraestrutura do Emotet está morta - o malware vive
Em sua última operação, foram atacados alvos na Itália, Espanha, Japão, México e África do Sul. Desde abril de 2023 as atividades da Emotet estão suspensas. Os pesquisadores da ESET suspeitam que os hackers estejam procurando por novos vetores de ataque.
“O Emotet se espalha por e-mails de spam. O malware pode roubar informações confidenciais de computadores comprometidos e injetar malware de terceiros neles. Os operadores do Emotet não são muito exigentes quanto aos seus objetivos. Eles instalam seu malware nos sistemas de indivíduos, empresas e organizações maiores”, diz o pesquisador da ESET Jakub Kaloč, que ajudou na análise.
Emotet teve que encontrar um novo vetor de ataque
Do final de 2021 a meados de 2022, o Emotet se espalhou principalmente por meio de macros VBA em documentos do Microsoft Word e Excel. Em julho de 2022, a Microsoft mudou o jogo para todas as famílias de malware como Emotet e Qbot - que usavam e-mails de phishing com documentos maliciosos como método de propagação - desativando macros VBA em documentos extraídos da Internet.
“O desligamento do principal vetor de ataque do Emotet levou seus operadores a procurar novas maneiras de comprometer seus alvos. Mealybug começou a experimentar arquivos LNK e XLL maliciosos. No entanto, à medida que 2022 chegava ao fim, os operadores do Emotet lutavam para encontrar um novo vetor de ataque tão eficaz quanto as macros VBA. Em 2023, eles executaram três campanhas diferentes de malspam, cada uma testando uma rota ligeiramente diferente de invasão e uma técnica de engenharia social diferente”, explica Kaloč. “No entanto, o alcance cada vez menor dos ataques e as mudanças constantes na abordagem podem indicar insatisfação com os resultados.” Mais tarde, a Emotet incorporou uma isca no Microsoft OneNote. Apesar dos avisos ao abrir de que essa ação poderia resultar em conteúdo malicioso, os usuários clicaram nele.
Os criminosos continuam a desenvolver o Emotet
Após seu reaparecimento, o Emotet recebeu várias atualizações. As características mais notáveis foram que o botnet mudou seu esquema criptográfico e implementou vários novos ofuscamentos para proteger seus módulos. Desde seu retorno, os operadores do Emotet fizeram esforços significativos para impedir que sua botnet seja monitorada e rastreada. Além disso, eles implementaram vários novos módulos e melhoraram os módulos existentes para se manterem lucrativos.
O Emotet é distribuído por e-mails de spam. As pessoas geralmente confiam nessas mensagens porque os criminosos usam com sucesso técnicas especiais para sequestrar históricos de conversas em e-mails. Antes da remoção, o Emotet usava módulos que chamamos de Outlook Contact Stealer e Outlook Email Stealer, que eram capazes de roubar e-mails e informações de contato do Outlook. No entanto, como nem todos usam o Outlook, depois de retornar o Emotet também se concentrou em um aplicativo de e-mail alternativo gratuito: o Thunderbird. Além disso, começou a usar o módulo Google Chrome Credit Card Stealer, que rouba informações de cartão de crédito armazenadas no navegador Google Chrome.
De acordo com a telemetria da ESET e a impressão dos pesquisadores, as botnets Emotet estão silenciosas desde o início de abril de 2023. Isso provavelmente se deve à descoberta de um novo vetor de ataque eficaz. Japão (2022%), Itália (43%), Espanha (13%), México (5%) e África do Sul (5%) foram os alvos da maioria dos ataques detectados pela ESET desde janeiro de 4 até o momento.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.