0
0
A botnet de malware Emotet ressurgiu de forma mais avançada depois de ter sido derrubada pela força-tarefa internacional conjunta em janeiro de 2021.
Uma ameaça prolífica durante a pandemia, o malware Emotet começou como um trojan bancário em 2014, e seus operadores foram um dos primeiros grupos criminosos a fornecer malware como serviço (MaaS).
Embora ainda esteja utilizando muitos dos mesmos vetores de ataque que explorou no passado, o retorno da Emotet foi acompanhado por um aumento na eficácia na coleta e utilização de credenciais roubadas. O relatório observou que essas credenciais roubadas também estão sendo armadas para distribuir ainda mais os binários de malware.
“Os ataques estão usando threads de e-mail sequestrados e, em seguida, usando essas contas como ponto de lançamento para enganar as vítimas a permitir macros de documentos de escritório maliciosos anexados”, explicou um relatório de quinta-feira da Deep Instinct.
Além disso, o Emotet está utilizando código de shell de 64 bits, bem como PowerShell mais avançados e scripts ativos, com quase um quinto de todas as amostras maliciosas explorando a vulnerabilidade da Microsoft CVE-2017-11882 de 2017.
Os ataques se concentraram em grande parte nas vítimas no Japão, com foco expandido em alvos nos Estados Unidos e na Itália a partir de março deste ano.
A equipe Deep Instinct também escreveu uma postagem detalhada no blog sobre os detalhes técnicos do que encontraram em novembro.
Chuck Everette, diretor de defesa de segurança cibernética da Deep Instinct, diz que a Equipe de Pesquisa de Ameaças da empresa vem monitorando o ressurgimento do Emotet desde o quarto trimestre do ano passado.
“Usamos algoritmos internos de codificação e similaridade binária em nosso back-end em nuvem para associar e correlacionar novas variantes de um conjunto selecionado de campanhas que monitoramos muito de perto, sendo o Emotet uma delas”, explica ele.
Em particular, vários métodos de evasão estática são muito característicos do Emotet, e os upticks naqueles em novas ondas variantes são muito indicativos da atividade do Emotet, diz Everette ao Dark Reading.
“Esses ataques definitivamente têm características semelhantes às que tiveram no passado”, diz ele. “Eles agora, no entanto, têm algumas técnicas e táticas novas e melhoradas.”
Um deles, observou Everette, é a racionalização do produto e a remoção do estágio intermediário do ataque.
Além disso, eles mudaram de HTTP não seguro para comunicações HTTPS seguras, e também adicionaram técnicas de ofuscação de código à carga útil.
“A Emotet Gang são profissionais. Eles sabem como executar uma campanha de phishing bem-sucedida e agora melhoraram seu jogo com novas técnicas de ataque sofisticadas”, diz Everette. “No entanto, o principal método de entrega ainda são os e-mails de phishing, e o fator humano é a fraqueza.”
Ele aconselha as organizações a serem continuamente diligentes em relação à conscientização sobre segurança cibernética, treinando seus funcionários, além de monitorar e adicionar recursos de prevenção para manter esses tipos de ataques de phishing fora de seu ambiente.
“Se você se tornar mais difícil de atacar do que outra empresa, eles irão atrás do alvo mais fácil”, diz ele. “Certifique-se de que você é o alvo mais difícil de penetrar. Eduque seus funcionários.”
Emotet & TrickBot: Juntos de novo?
Em relação aos laços anteriores de Emotet com o trojan TrickBot, Everette reconheceu que há bastante especulação sobre o status do relacionamento agora, mas o pensamento mais comum é que há uma colaboração contínua entre essas entidades cibercriminosas.
“TrickBot e Emotet têm uma longa história de colaboração”, disse ele. “Como sabemos, com a ascensão e queda das gangues cibernéticas, os membros geralmente se movem entre organizações. Isso cria alianças e compartilhamento de conhecimento. Com Emotet e TrickBot, é apenas uma dessas alianças que durou e resistiu a várias tentativas de decobrimento.”
De sua perspectiva, Emotet não é diferente de outras gangues cibernéticas que foram derrubadas – 90% dessas gangues cibernéticas ressuscitam de uma forma ou de outra.
“A principal diferença com o Emotet é que você ainda está usando uma boa maioria do código original, dadas as técnicas mais sofisticadas, e elas parecem estar mantendo o mesmo nome”, disse Everette. “Suas operações não mudaram, porque foram muito bem-sucedidas no passado.”
Ele acrescentou que também há indicadores de que o grupo mudou parte de sua infraestrutura para fora da arena europeia e para a América do Sul, principalmente para o Brasil.
FONTE: DARK READING