Os pesquisadores de segurança da SophosLabs têm investigado as atividades atuais da rede de bots Emotet reativada. Eles descrevem como o Emotet atualmente usa CFF, uma técnica de codificação usada pelo malware da botnet para camuflar e se esconder das medidas de segurança.
O Emotet tem sido um dos serviços de cibercrime e infecções por malware mais profissionais e duradouros no cenário de ameaças. A botnet tornou-se famosa logo após sua estreia em 2014 e foi interrompida em janeiro de 2021 por uma operação multinacional de aplicação da lei que suspendeu suas atividades por quase um ano. Finalmente, em novembro de 2021, a botnet ressurgiu e reapareceu no radar da Sophos.
Emotet: de volta ao radar
"Depois de um hiato de quase um ano na aplicação da lei, o infame Emotet botnet está de volta em ascensão, como evidenciado pelos sandboxes e sistemas de monitoramento da SophosLabs", disse Andreas Klopsch, pesquisador de segurança da SophosLabs.
“O gráfico de barras acima mostra o surgimento do Emotet detectado nos sistemas sandbox da Sophos no primeiro trimestre de 2022. Como pode ser visto no gráfico, recebemos vários envios de Emotet diariamente; assumimos que os principais picos recorrentes são campanhas de grande escala. O Emotet é distribuído principalmente por meio de spam de e-mail, e mais e-mails maliciosos naturalmente levam a mais envios de sandbox.
Além disso, a equipe de pesquisa notou que o Emotet costuma usar o CFF como um acelerador para desacelerar as defesas; uma técnica utilizada desde 2020.
Ofuscação como tática
“CFF é uma técnica de ofuscação bem conhecida usada para mascarar a intenção do malware, tornando difícil para os defensores entender e proteger contra ataques. O processo de remoção dessa técnica de ofuscação é chamado de 'descompactação'. Nossa equipe de pesquisa no SophosLabs conseguiu descobrir a maior parte da funcionalidade ofuscada e quebrou várias camadas adicionais de ofuscação. Isso nos permite aprofundar o funcionamento interno do Emotet. Isso permite que as empresas tenham uma melhor detecção e um tempo de resposta mais rápido no caso de um ataque do Emotet”, diz Andreas Klopsch.
A Sophos também lançou uma ferramenta no GitHub para ajudar os defensores a descompactar pilhas de camadas CFF em um ataque Emotet e para desvendar.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.