Emotet Malware ataca governos e organizações que custam milhões de vítimas

O Emotet é sem dúvida o malware mais problemático e caro dos últimos cinco anos. Este malware foi descoberto pela primeira vez em 2014 e, desde então, vem causando problemas quase sem parar. A ameaça teve uma pausa de dois meses em maio de 2019, apenas para chegar às manchetes no final de julho, quando atacou Lake City, Flórida, custando à cidade US $ 460.000.

Mais tarde naquele ano, a Universidade de Giessen, a Universidade Católica de Freiburg e as cidades alemãs Frankfurt e Bad Homburg fecharam suas redes de TI por causa de outro ataque de Emotet.

Campanhas de spam massivas do Emotet foram detectadas em inglês, alemão, polonês e italiano. O Departamento de Segurança Interna dos EUA alerta que Emotet afeta 'governos estaduais, locais, tribais e territoriais (SLTT) e os setores público e privado'.

Emotet faz parceria com outro malware para causar estragos

O Emotet foi projetado inicialmente para se infiltrar nas máquinas de destino e roubar credenciais bancárias. Essa ameaça, no entanto, evoluiu para um malware maior e mais sofisticado, que agora não é apenas um risco independente, mas também um vetor que distribui e espalha outras famílias de malware.

O Emotet desempenha um papel central em uma ampla variedade de ataques de malware. Vários operadores de malware parecem se envolver regularmente com a distribuição da ameaça, ajudando a encontrar e infectar novas vítimas.

Embora o Emotet seja mais do que capaz de roubar informações, essa ameaça funciona principalmente como um conta-gotas. Os atores de ameaças usam a rede da Emotet para espalhar outras famílias de malware, como Azorult, Dridex e Ursnif. O que é alarmante é que o Emote tende a transmitir malware que lança ameaças adicionais, entupindo as máquinas das vítimas com uma infinidade de ameaças.

A combinação de malware mais notável até agora é o trio Emotet - Trickbot - Ryuk, que não apenas rouba informações confidenciais, mas também extorta as organizações a pagar resgates pesados. O esquema é simples: o Emotet baixa o Trickbot, um Trojan modular que raspa a máquina da vítima em busca de informações confidenciais, como credenciais de login e endereços de email. Enquanto isso, os atores mal-intencionados verificam se a máquina de destino faz parte de uma organização. Se for esse o caso, eles descartam o Ryuk, uma ameaça de ransomware que criptografa os dados gerados pelos usuários e extorque as vítimas.

Os ataques combinados do Emotet podem ter consequências negativas, como:

  • perda de dados
  • vazamentos de informações pessoais e outras informações confidenciais
  • perde financeiro
  • prejudicar a reputação de uma organização
  • obstrução de operações regulares

Táticas de distribuição da Emotet

O Emotet conta com campanhas de spam. Ao longo dos anos, os ciberataques usaram scripts, documentos micro-ativados e links maliciosos. As versões iniciais do Emotet empregam arquivos JavaScript maliciosos, enquanto suas variantes posteriores utilizam elementos mais complexos, como documentos habilitados para macro que baixam a carga maliciosa dos servidores de comando e controle (C&C).

A técnica de distribuição escolhida por Emotet pode parecer padrão no começo. Um olhar mais atento à técnica usada, no entanto, revela a sofisticação do malware. Esta ameaça não é um malware padrão. Os pesquisadores relatam que o Emotet usa técnicas avançadas de spam que inserem objetos maliciosos em threads de conversa legítimos.

O módulo de spam do Emotet rouba não apenas a lista de contatos de e-mail, mas também o conteúdo das mensagens. O malware entra nas conversas existentes. Ele constrói mensagens enganosas que incluem informações copiadas de correspondência antiga, além de elementos maliciosos. Como mostra a Figura 1, Emotet atrai suas vítimas para o download impulsivo de arquivos maliciosos, fingindo ser um correspondente legítimo.


Figura 1. Exemplo de Malspam - Fonte: Blog Talosintelligence.com

Alguém poderia imaginar que o malware espalhe spam malicioso apenas através de sua rede de dispositivos infectados. Esse não é o caso, no entanto. O Emotet espalha mensagens de spam das máquinas de suas vítimas, mas também transmite mensagens maliciosas de outros locais e servidores não relacionados. Os pesquisadores relatam que o malware rouba as credenciais de suas vítimas e as distribui para uma rede de bots que usam essas mesmas credenciais para transmitir ainda mais os e-mails de ataque do Emotet.

Vetor de infecção e técnicas anti-AV

Depois que o usuário interage com um elemento de email corrompido, as macros maliciosas baixam o executável do Emotet de um servidor C&C remoto. Sabe-se que os atores de ameaças usam três servidores (época 1, época 2 e época 3) que são executados independentemente um do outro. Se um servidor for desativado, os outros dois poderão continuar executando as operações de malware.


Figura 2. Código da macro ofuscada - Fonte: Virusbulletin.com

O código da macro está ofuscado (Figura 2). É muito longo, contendo muitos caracteres ilegíveis que camuflam as partes úteis do código. Essa técnica anti-forense simples, porém eficaz, torna a análise de malware difícil e desagradável.


Figura 2.1. Código de macro limpo - Aqui podemos ver as partes úteis do código de macro mostradas na Figura 2 - Fonte: Virusbulletin.com

O executável de Emotet também desafia os pesquisadores. Ao colocar esse elemento em inúmeras transformações, os atores maliciosos visam impedir a análise de malware e evitar a detecção. Versões diferentes do malware empregam executáveis diferentes com estruturas exclusivas. Os pesquisadores apontam que o único elemento comum entre as variantes é o tipo de estrutura de processo pai-filho. O malware garante sua execução suave e ininterrupta executando cópias de si mesmo como processos filhos que possuem funções exclusivas. Outros truques que o Emotet usa para obstruir a análise estática são a implementação de uma tabela de importação construída dinamicamente e um algoritmo de hash incomum.

É importante observar que o Emotet está ciente de seus arredores. Se detectar que é executado em um ambiente sandbox, o malware interrompe sua execução. Além disso, algumas variantes do malware são projetadas para evitar análises, mudando para o modo de suspensão. Como um bônus para os atores mal-intencionados, essa técnica esconde o malware dos programas antivírus.

A persistência do malware Emotet é implacável

O Emotet estabelece persistência injetando seu código no explorer.exe e em outros processos em execução. O malware coleta informações confidenciais do sistema e carrega os dados em um servidor C&C remoto. A ameaça relata a nova infecção e recebe instruções sobre como proceder com o ataque.

O Emotet mantém sua persistência por meio de tarefas agendadas ou chaves do Registro. As novas versões do malware criam um serviço do carregador. Para voar sob o radar, o Emotet imita os nomes dos executáveis conhecidos. Ele também copia descrições legítimas de serviço para seus próprios serviços recém-criados. Se não conseguir criar um serviço, ele usa o registro 'SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run'. Além disso, a ameaça cria arquivos com nomes aleatórios nos diretórios raiz do sistema e os executa como serviços do Windows.

Depois que o Emotet estabelece a persistência, ele tenta se espalhar pela rede local. O malware usa várias abordagens para propagar, incluindo contas brutas de usuários forçados e enumeração de recursos de rede. Seu objetivo é infectar todos os dispositivos da rede, coletar dados deles e adicioná-los à sua rede gigante de bots irracionais.


Figura 3. Como o Emotet se espalha por uma imagem de rede local - Fonte: us-cert.gov/ncas/alerts/TA18-201A

A prevenção do Emotet requer intervenção do usuário

A prevenção do Emotet começa com a educação dos usuários. Esse malware depende de ataques de engenharia social, que falharão se os usuários adotarem cautela e praticarem medidas de segurança, além de seguir as dicas a seguir:

  • Os usuários devem ter cuidado com as mensagens inesperadas, mesmo as que vêm de remetentes familiares, e não devem interagir com elas, a menos que se mostre seguro.
  • O emprego de uma política de senha forte é uma obrigação.
  • Os usuários também devem optar pela autenticação multifator quando disponível.
  • A manutenção de software atualizado é obrigatória.
  • O Emotet geralmente elimina malware que explora vulnerabilidades conhecidas e já corrigidas, como o EternalBlue. Os aplicativos antivírus, em combinação com um bom firewall, podem proteger seu computador contra uma infinidade de ameaças.

O Departamento de Segurança Interna dos EUA recomenda que as organizações sigam rigorosamente as melhores práticas de segurança.

Por Zane
January 21, 2020
Malware
Portuguese
January 21, 2020
Malware

Postagens Populares

Microsoft alerta que atores de ameaças apoiados pelo Estado...

4 days atrás

Detecção de Malware Trojan Al11

11 months atrás

Pinaview é um aplicativo de adware completo

10 months atrás

Pop-ups "Seu iCloud está sendo invadido" e "Seu iPhone foi...

7 months atrás

O que é Lucky Ransomware?

7 months atrás

Golpe de e-mail 'American Express - Atualize as informações da...

6 months atrás
Portuguese
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.