Emotet: O malware mais perigoso do mundo está de volta…

O Emotet é um tipo de malware desenvolvido originalmente como trojan bancário com o objetivo de roubar dados financeiros, mas a sua evolução tornou-o uma grande ameaça para utilizadores de todo o mundo. Segundo a ESET, o Emotet "está de volta"...

O Emotet é uma família de malware ativa desde 2014...

A ESET, empresa europeia líder em soluções de cibersegurança, revela as mais recentes atividades do infame Emotet desde o seu regresso à paisagem das ciberameaças no final de 2021. O Emotet é uma família de malware ativa desde 2014, operada por um grupo cibercriminoso conhecido como Mealybug ou TA542.

Embora tenha começado como um trojan bancário, o Emotet evoluiu mais tarde para uma rede de dispositivos online infetados com malware – ou botnet – tornando-se numa das ciberameaças mais prevalentes em todo o mundo.

Em janeiro de 2021, o Emotet foi alvo de um takedown limitado, em resultado de um esforço internacional e colaborativo de oito países, coordenado pela Eurojust e Europol. No entanto, o Emotet voltou ao ativo em novembro de 2021 com várias campanhas de spam, que terminaram abruptamente em abril de 2023. Nas suas últimas campanhas de 2022-2023, a maioria dos ataques detetados pela ESET visaram em particular o Sul da Europa e o Japão.

Segundo o investigador da ESET Jakub Kaloč...

O Emotet propaga-se através de emails de spam. Pode extrair informações e distribuir malware third-party a computadores comprometidos. Os operadores do Emotet não são muito exigentes quanto aos seus alvos, instalando o seu malware em sistemas pertencentes a indivíduos e empresas de todas as dimensões...

Ao longo do final de 2021 e até meados de 2022, o Emotet propagou-se principalmente através de documentos maliciosos do Microsoft Word e Microsoft Excel com macros VBA incorporados. Em julho de 2022, a Microsoft mudou as regras do jogo para todas as famílias de malware como o Emotet ao desativar os macros VBA em documentos obtidos na Internet.

A desativação do principal vetor de ataque do Emotet fez com que os seus operadores procurassem novas formas de comprometer os seus alvos. O grupo Mealybug começou a fazer experiências com ficheiros LNK e XLL maliciosos. Em 2023, os operadores do Emotet executaram três campanhas distintas de spam malicioso (ou ‘malspam’), onde cada uma testava uma via de invasão e técnica de engenharia social ligeiramente diferentes.

No entanto, o tamanho cada vez menor dos ataques e as constantes mudanças na abordagem podem sugerir uma insatisfação com os resultados.

Referiu o investigador...

Após o seu ressurgimento, o Emotet recebeu várias atualizações. As características mais assinaláveis foram o facto de o botnet ter mudado o seu esquema de encriptação e ter implementado várias novas técnicas de camuflagem para proteger os seus módulos.

Os operadores do Emotet investiram esforços significativos para evitar a monitorização e o rastreio do seu botnet desde o seu regresso. Além disso, implementaram vários módulos novos e melhoraram os existentes para se manterem rentáveis.

O Emotet propaga-se através de emails de spam, e as pessoas confiam muitas vezes nesses emails porque utilizam com sucesso uma técnica de sequestro de threads de email. Antes do seu takedown, o Emotet usava módulos designados de Outlook Contact Stealer e Outlook Email Stealer, que eram capazes de roubar emails e informações de contacto do Outlook. No entanto, como nem todas as pessoas usam o Outlook, o Emotet pós-takedown também se concentrou numa aplicação de email alternativa gratuita (Thunderbird). Além disso, começou a usar o módulo Google Chrome Credit Card Stealer, que rouba informações de cartões de crédito armazenados no browser da Google.