Evolução do Emotet: De Trojan Bancário para Distribuidor de Malware

Views: 390
0 0
Read Time:7 Minute, 54 Second

Emotet é uma das ameaças de malware mais perigosas e generalizadas ativas hoje.

Desde sua descoberta em 2014 — quando o Emotet era um ladrão de credenciais padrão e trojan bancário, o malware evoluiu para uma plataforma modular e polimórfica para distribuir outros tipos de vírus de computador.

Estando constantemente em desenvolvimento, a Emotet se atualiza regularmente para melhorar a furtividade, persistência e adicionar novos recursos de espionagem.

Este notório Trojan é um dos programas mais maliciosos encontrados na natureza. Normalmente, faz parte de um ataque de phishing, spam de e-mail que infecta PCs com malware e se espalha entre outros computadores da rede.

Se você quiser saber mais sobre o malware, coletar IOCs e obter amostras novas, verifique o seguinte artigo no malware trends tracker, o serviço com artigos dinâmicos.

O Emotet é o malware mais carregado nos últimos anos. Aqui abaixo está a classificação de uploads para ANY. Serviço RUN em 2019, onde os usuários executaram mais de 36000 sessões interativas de análise de malware Emotet on-line.

Emotet Banking Malware Stats

O malware mudou muito com o tempo, e a cada nova versão, ele fica cada vez mais ameaçador para as vítimas. Vamos dar uma olhada mais de perto em como ele evoluiu.

Quando era como qualquer outro Trojan bancário padrão, o principal objetivo do malware era roubar as credenciais das pequenas empresas, principalmente na Alemanha e na Áustria. Ao falsificar faturas ou outros documentos financeiros, fez com que os usuários clicasse nos links e deixasse o malware entrar.

Mais tarde naquele ano, adquiriu uma arquitetura modular diversificada, cujos focos principais eram baixar uma carga de malware, espalhar-se para o maior número possível de máquinas e enviar e-mails maliciosos para infectar outras organizações.

No início de 2015, após uma pequena pausa, Emotet apareceu novamente. A chave RSA pública, novas listas de endereços, criptografia RC4 estavam entre os novos recursos do Trojan. A partir deste ponto, o alcance das vítimas começou a aumentar — os bancos suíços aderiram a ela. E, no geral, as técnicas de evasão foram muito melhoradas.

In recent versions, a significant change in the strategy has happened. Emotet has turned into polymorphic malware, downloading other malicious programs to the infected computer and the whole network as well. It steals data, adapts to various detection systems, rents the infected hosts to other cybercriminals as a Malware-as-a-Service model.

Since Emotet uses stolen emails to gain victims’ trust, spam has consistently remained the primary delivery method for Emotet—making it convincing, highly successful, and dangerous.

For example, in 2018, the government system suffered an Emotet infection in Allentown, a city in eastern Pennsylvania, which cost them $1 million for recovery.

The whole city of Frankfurt had to shut down the network because of Emotet in 2019. Different kinds of organizations, from the government to small businesses, all public services were forced to stop their work via IT.

According to the latest research, Emotet is a worldwide threat that affects all kinds of spheres. Just look at the following map, Italy, Spain, and the United Arab Emirates are the top countries with the most attacked users.

Emotet Banking Malware Attacks on Map

Recently France, Japan, and New Zealand’s cybersecurity companies have announced a rise in Emotet attacks targeting their countries.

Emotet then and now

According to a graph of the Emotet samples uploaded to ANY.RUN service, you can see the behavior of the malware in 2019 and 2020.

Emotet Banking Malware Samples

Podemos notar algumas semelhanças em sua atividade. Por exemplo, em junho, Emotet tende a estar em declínio. No entanto, parece mostrar uma tendência crescente de agosto a outubro. Em 2019 o final do ano foi muito ativo para esse tipo de ataque, então podemos esperar que ele esteja em ascensão este ano também.

Emotet tem permanecido uma ameaça por anos à medida que muda permanentemente. As primeiras versões diferem da atual, até mesmo por suas intenções — a Emotet desenvolveu-se do Trojan bancário ao carregador. Quando se trata de evolução de execução e modelos de documentos, descreveremos apenas versões que vêm após 2018. Houve mudanças mesmo ao longo desses dois anos, mas a única coisa que permanece inalterada é a entrega.

Para distribuição e execução do usuário, a Emotet está usando spam malicioso e documentos com macros VBA. Depois que um alvo baixa os documentos maliciosos anexados de um e-mail e o abre, o documento do Office engana o usuário para habilitar a macro. Depois disso, a macro incorporada inicia sua execução, e os cenários subsequentes podem variar. A variante mais comum nos últimos anos é que as macros iniciam um script Powershell codificado pela Base64 que mais tarde baixa um executável. Mas neste ponto, Emotet traz um monte de execuções diferentes.

Muitas variantes chegam à sua vida quando falamos sobre os passos iniciais depois que um maldoc foi aberto. Os documentos do VBA macro in Office podem iniciar cmd, Powershell, WScript, e, ultimamente, pela primeira vez, Сertutil foi usado pela cadeia de execução do Emotet.

Outras alterações no processo de execução aconteceram na cadeia entre documentos maliciosos e arquivos executáveis descartados/baixados.

Não só a cadeia de execução foi transformada ao longo do tempo, mas também o próprio arquivo executável do Emotet — chaves de registro, arquivos e processos infantis no sistema de arquivos. Por exemplo, nos anos 2018-2019, a Emotet deixou sua execução na pasta sob um caminho específico e gerou um nome de arquivo e o nome de uma pasta usando um algoritmo específico.

Ele alterou o algoritmo de geração de nomes de arquivos, árvore de processo e algoritmo de geração de caminho para comunicação C2.

Outra grande parte que caracteriza essa família de malware são os modelos dos maldocs que ele usa. Eles estão mudando continuamente, e na maioria das vezes, Emotet usa seus próprios. Mas entre eles também podem ser encontrados modelos que anteriormente foram usados para distribuir outras famílias de malware, como Valak e Icedid.

Emotet do ANY. Perspectiva do RUN

Claro, o principal desafio com a Emotet é encontrar uma maneira de identificá-lo e entender seu comportamento, para que depois disso, você possa melhorar os pontos fracos na segurança.

Há uma ferramenta que pode te dar uma mão com isso. Qualquer. RUN é uma caixa de areia on-line interativa que detecta, analisa e monitora ameaças de segurança cibernética, necessárias se você lidar com a Emotet.

Além disso, QUALQUER. A RUN possui uma ferramenta especial — a pesquisa de submissões públicas. É um vasto banco de dados onde os usuários compartilham suas investigações. E muitas vezes, Emotet se torna o “herói” do dia: ele tem uma posição de liderança das amostras mais baixadas em ANY. Executar. É por isso que qualquer um. A experiência do RUN com o malware é interessante.

O primeiro passo para proteger sua infraestrutura contra a infecção pelo Emotet é detectar o malware. Qualquer. O SANDBox RUN possui ferramentas excelentes para detecção e análise da Emotet.

O serviço online lida regularmente com a Emotet. Então, vamos tentar a abordagem interativa para detecção de Emotet e investigar uma das amostras em conjunto:

Banking Trojan

Aqui está um anexo malicioso do e-mail de phishing que enviamos para QUALQUER. EXECUTE e obtenha imediatamente os primeiros resultados. A árvore de processo à direita reflete todas as operações que foram feitas.

Como mostrado, o primeiro processo começa a criar novos arquivos no diretório do usuário. Em seguida, POwersheLL.exe se conecta à rede e baixa arquivos executáveis da Internet. O último, winhttp.exe altera o valor autorun no registro e se conecta ao servidor de comando e controle, tanto para recuperar instruções para atividades maliciosas subsequentes quanto exfiltrar dados roubados.

E finalmente, Emotet foi detectado pela atividade da rede. As regras da Suricata frescas de provedores premium, como Proofpoint (Ameaças Emergentes) e Tecnologias Positivas, são uma grande parte do processo de detecção.

Além disso, ANY. O RUN oferece um recurso fake net útil. Quando ligado, ele retorna um erro 404 que força o malware a revelar seus links C2 que ajudam a coletar os IOCs da Emotet de forma mais eficiente. Isso ajuda os analistas de malware a otimizar seu tempo, pois não há necessidade de desobsfusá-lo manualmente.

Curiosamente, um conjunto de documentos maliciosos com o mesmo modelo pode ter incorporado a macro VBA, levando à criação de diferentes cadeias de execução. Todos eles têm o objetivo principal de enganar um usuário que abriu este maldoc para habilitar a macro VBA.

Emotet Banking Malware Template

Se você quiser dar uma olhada em todos esses modelos, basta pesquisar pela tag “emotet-doc” em ANY. As submissões públicas do RUN — esses maldocs são agrupados pela similaridade de conteúdo.

Conclusão

Esse tipo de tendência prova que Emotet não vai desistir ou perder o terreno. Sua evolução mostrou que o malware se desenvolve muito rapidamente e se adapta a tudo.

Se sua empresa estiver conectada à Internet, os riscos podem ser mais amplos e profundos do que você imagina. É por isso que é verdade que combater ameaças sofisticadas como Emotet requer um esforço conjunto de indivíduos e organizações.

Além disso, o objetivo de serviços como ANY. A RUN deve estar ciente dessas ameaças potenciais e ajudar as empresas a reconhecer malware precocemente e evitar infecções a qualquer custo.

Análise e detecção com ANY. RUN é fácil, e qualquer um pode analisar um monte de amostras frescas todos os dias.

Além disso, o serviço é gratuito para usar e para baixar amostras, e não há dúvida de que você pode fazer uso de ANY. RUN – basta tentar!

FONTE: THE HACKER NEWS

POSTS RELACIONADOS