O TA542, um grupo cibercriminoso que distribui o malware Emotet, encerrou suas férias de verão e está lançando cada vez mais novas campanhas. No entanto, também com variantes Emotet modificadas.
O grupo TA542 esteve ausente por quase quatro meses e foi visto pela última vez em ação no verão de 13 de julho de 2022. Desde 2 de novembro, os especialistas em segurança da Proofpoint monitoram novas atividades do TA542 - especialmente na Alemanha.
Principais conclusões sobre as campanhas do Emotet
- O TA542 usa variantes personalizadas do Emotet nas novas campanhas. As alterações (veja abaixo) afetam as cargas úteis e iscas usadas, bem como alterações nos módulos Emotet, carregador e empacotador.
- O Emotet agora também oferece o Trojan bancário IcedID.
- As novas atividades indicam que o Emotet está recuperando sua funcionalidade total como rede de distribuição para diferentes tipos de malware.
- A botnet tem algumas diferenças importantes em relação às campanhas anteriores. Isso indica que novos operadores ou novos gerentes estão envolvidos.
- As campanhas de e-mail do TA542 estão entre os líderes do cibercrime em termos de volume de e-mail. O Proofpoint já bloqueou centenas de milhares de mensagens por dia.
- O arquivo do Excel que contém o malware inclui instruções para que as vítimas em potencial copiem o arquivo para um local de modelo do Microsoft Office e o executem a partir daí. São necessários direitos de administrador para isso. Isso se aplica mais a computadores particulares do que a computadores da empresa.
As principais inovações do Emotet
- Novos chamarizes visuais para anexos do Excel
- Mudanças no binário do Emotet
- Emotet usa uma nova versão do carregador IcedID
- Além do IcedID, o downloader de malware Bumblebee é usado
Os especialistas em segurança cibernética da Proofpoint antecipam que o TA542 continuará a adaptar seu método, com potencial para maiores volumes de e-mail, regiões mais segmentadas e novas variantes ou técnicas de malware anexado ou vinculado. As mudanças que já foram feitas no binário do Emotet sugerem que os cibercriminosos continuarão a personalizá-lo também.
Emotet: Especialistas esperam forte alta
Tudo indica que o Emotet recuperará sua plena funcionalidade como rede de distribuição para muitas das principais famílias de malware. O que é particularmente interessante é que o Emotet está evoluindo. Nós o observamos há anos e não há sinal de que ele encerrará as operações. Continua morrendo e revivendo como um gato com mais de nove vidas.
Mais em Proofpoint.com
Sobre o Proofpoint A Proofpoint, Inc. é uma empresa líder em cibersegurança. O foco da Proofpoint é a proteção dos funcionários. Porque estes representam o maior capital para uma empresa, mas também o maior risco. Com um conjunto integrado de soluções de segurança cibernética baseadas em nuvem, a Proofpoint ajuda organizações em todo o mundo a interromper ameaças direcionadas, proteger seus dados e educar os usuários corporativos de TI sobre os riscos de ataques cibernéticos.