Microsoft, Itália e Holanda alertam para aumento da atividade da Emotet

Views: 38
0 0
Read Time:3 Minute, 17 Second

Duas semanas depois que agências de segurança cibernética da França, JapãoNova Zelândia publicaram avisos sobre um aumento na atividade da Emotet, novos alertas foram publicados na semana passada por agências na Itália e na Holanda,mas também pela Microsoft.

Esses novos avisos vêm à medida que a atividade da Emotet continuou a aumentar, superando qualquer outra operação de malware ativa hoje.

“Tem sido muito pesado para o spam [Emotet] ultimamente”, disse Joseph Roosen, membro do Cryptolaemus, um grupo de pesquisadores de segurança que rastreiam campanhas de malware da Emotet, durante uma entrevista hoje.

“Recebi cerca de 400 e-mails no meu [dia de trabalho] segunda-feira, quando normalmente é apenas cerca de uma dúzia ou menos de 100 em um bom dia”, disse Roosen, colocando o recente pico de perspectiva.

“Este tem sido o caso nas últimas duas semanas.”

Emotet retornou em julho, mas agora está spaming em plena capacidade

A Emotet, de longe a maior botnet de malware da atualidade, está adormecida durante a maior parte deste ano, de fevereiro a julho, quando fez seu retorno.

A equipe da Emotet esperava um retorno rápido à capacidade máxima, mas seu retorno foi estragado e adiado por quase um mês por um vigilante que continuou invadindo a infraestrutura da Emotet e substituindo seu malware por GIFs animados.

Infelizmente, isso não durou muito, e os operadores da Emotet eventualmente encontraram uma maneira de parar o hacker e agora estão de volta ao controle total sobre sua botnet, que agora estão usando para produzir cada vez mais spam todos os dias.

Esses e-mails de spam vêm com arquivos maliciosos anexados, que infectam o host com o malware Emotet. A gangue Emotet então vende acesso a esses hosts infectados para outras gangues de crimes cibernéticos, incluindo operadores de ransomware.

Muitas vezes, e especialmente em grandes ambientes corporativos, uma infecção emotet pode se transformar em um ataque de ransomware em poucas horas.

É por isso que as agências de segurança cibernética e equipes cert na França, Japão, Nova Zelândia, Itália e Holanda estão tratando as campanhas de spam da Emotet com tanto medo e respeito, e por isso estão lançando alertas para as empresas de seus respectivos países para reforçar as defesas para os truques de spam da Emotet.

E a Emotet tem um grande saco de truques quando se trata de suas operações de spam.

Roosen, que está rastreando a botnet há anos, diz que a Emotet está atualmente favorecendo o uso de uma técnica chamada “cadeias de e-mail” ou “bandas de rodagem sequestradas”.

A técnica conta com a gangue Emotet primeiro roubando uma cadeia de e-mails existente de um host infectado e, em seguida, respondendo à cadeia de e-mail com sua própria resposta (usando uma identidade falsa), mas também adicionando um documento malicioso, na esperança de enganar os participantes da cadeia de e-mail existente para abrir o arquivo e infectar-se.

A Emotet usa essa técnica desde outubro de 2018 e a favoreceu ao longo dos anos, usando-a muitas vezes antes.

A técnica é bastante inteligente e eficaz e também foi detalhada em reportagem publicada hoje pela Palo Alto Networks.

emotet-email-chains.jpg
Imagem: Palo Alto Networks

Mas os alertas da Microsoft e das autoridades italianas também alertam para outra mudança recente nas campanhas de spam da Emotet, que agora também estão aproveitando arquivos ZIP protegidos por senha em vez de documentos do Office.

A ideia é que, usando arquivos protegidos por senha, os gateways de segurança de e-mail não podem abrir o arquivo para digitalizar seu conteúdo e não verão vestígios de malware Emotet dentro.

Roosen disse à ZDNet que a Emotet vem usando essa técnica com moderação desde meados de 2019, mas recentemente eles começaram a aumentar sua prevalência entre as campanhas de spam da Emotet, daí porque a Microsoft e outros estão agora reagindo à sua aparência repentina.

FONTE: ZDNET

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *