Emotet

O Emotet é um tipo de malware originalmente projetado como um Cavalo de Troia bancário voltado para roubar dados financeiros, mas que evoluiu para se tornar uma grande ameaça para os usuários em todo lugar.

FAÇA O DOWNLOAD GRATUITO DO SITE MALWAREBYTES

Também para Windows, iOS, Android, Chromebook e Para Empresas

Vamos falar sobre o malware Emotet

Talvez você tenha ouvido falar do Emotet nas notícias. O que é: um rei egípcio antigo ou a banda emo favorita da sua irmã adolescente? Receio que não.

O Cavalo de Troia bancário Emotet foi identificado pela primeira vez por pesquisadores de segurança em 2014. O Emotet foi originalmente projetado como um malware bancário que tentava se infiltrar em seu computador e roubar informações sensíveis e privadas. Versões posteriores do software incluíram serviços de spam e entrega de malware — incluindo outros Cavalos de Troia bancários.

O Emotet usa funcionalidades que ajudam o software a evitar a detecção por alguns produtos antimalware. O Emotet usa capacidades semelhantes a worms para se espalhar para outros computadores conectados. Isso ajuda na distribuição do malware. Esta funcionalidade levou o Departamento de Segurança Interna a concluir que o Emotet é um dos malwares mais caros e destrutivos, afetando setores governamentais e privados, indivíduos e organizações, e custando mais de $1M por incidente para limpar.

Produtos de cibersegurança para Emotet

Para empresas

Malwarebytes Detecção e resposta de endpoints
Malwarebytes Proteção de endpoints
Malwarebytes Incident Response

O que é Emotet?

O Emotet é um Cavalo de Troia que se espalha principalmente através de e-mails de spam (malspam). A infecção pode chegar através de script malicioso, documentos habilitados para macro ou links maliciosos. Os e-mails do Emotet podem conter marcas familiares projetadas para parecer um e-mail legítimo. O Emotet pode tentar persuadir os usuários a clicar nos arquivos maliciosos usando linguagem atraente sobre "Sua Fatura", "Detalhes do Pagamento" ou possivelmente uma remessa futura de empresas de encomendas conhecidas.

O Emotet passou por algumas iterações. As primeiras versões chegaram como um arquivo JavaScript malicioso. Versões posteriores evoluíram para usar documentos habilitados para macro para recuperar a carga viral de servidores de comando e controle (C&C) operados pelos atacantes.

O Emotet usa uma série de truques para tentar evitar a detecção e análise. Notavelmente, o Emotet sabe se está rodando dentro de uma máquina virtual (VM) e permanece inativo se detectar um ambiente sandbox, que é uma ferramenta usada por pesquisadores de cibersegurança para observar o malware em um espaço seguro e controlado.

O Emotet também usa servidores C&C para receber atualizações. Isso funciona da mesma forma que as atualizações do sistema operacional no seu PC e pode acontecer sem sinais externos. Isso permite que os atacantes instalem versões atualizadas do software, instalem malware adicional, como outros Cavalos de Troia bancários, ou atuem como um depósito para informações roubadas, como credenciais financeiras, nomes de usuário e senhas, e endereços de e-mail.

Notícias sobre o Emotet

ℹ️ O Emotet está sendo distribuído diretamente via documentos de malspam agora. pic.twitter.com/pqYwSdIm82
- ThreatDown (@Threat_Down) Novembro 16, 2021

Como o Emotet se espalha?

O principal método de distribuição do Emotet é através de malspam. O Emotet vasculha sua lista de contatos e se envia para seus amigos, família, colegas de trabalho e clientes. Como esses e-mails vêm da sua conta de e-mail sequestrada, parecem menos com spam e os destinatários, sentindo-se seguros, são mais inclinados a clicar em URLs ruins e baixar arquivos infectados.

Se há uma rede conectada presente, o Emotet se espalha usando uma lista de senhas comuns, tentando adivinhar seu caminho em outros sistemas conectados em um ataque de força bruta. Se a senha do servidor crucial de recursos humanos for simplesmente "senha", é provável que o Emotet a encontre.

Pesquisadores inicialmente pensaram que o Emotet também se espalhava usando as vulnerabilidades EternalBlue/DoublePulsar, que foram responsáveis pelos ataques WannaCry e NotPetya. Sabemos agora que esse não é o caso. O que levou os pesquisadores a essa conclusão foi o fato de que o TrickBot, um Cavalo de Troia frequentemente espalhado pelo Emotet, utiliza o exploit EternalBlue para se espalhar por uma determinada rede. Foi o TrickBot, não o Emotet, que aproveitou as vulnerabilidades EternalBlue/DoublePulsar.

Qual é a história do Emotet?

Identificado pela primeira vez em 2014, o Emotet continua a infectar sistemas e prejudicar usuários até hoje, e é por isso que ainda estamos falando sobre ele, ao contrário de outras tendências de 2014 (Desafio do Balde de Gelo, alguém?).

A versão um do Emotet foi projetada para roubar detalhes de contas bancárias interceptando o tráfego da internet. Pouco tempo depois, uma nova versão do software foi detectada. Esta versão, chamada de versão dois do Emotet, veio com vários módulos, incluindo um sistema de transferência de dinheiro, módulo de malspam, e um módulo bancário que visava bancos alemães e austríacos.

“As versões atuais do Cavalo de Troia Emotet incluem a capacidade de instalar outros malwares em máquinas infectadas. Este malware pode incluir outros Cavalos de Troia bancários ou serviços de entrega de malspam.”

Em janeiro de 2015, uma nova versão do Emotet surgiu. A versão três continha modificações para se manter sob o radar e adicionou novos alvos de bancos suíços.

Avançando para 2018 — novas versões do Cavalo de Troia Emotet incluem a capacidade de instalar outros malwares em máquinas infectadas. Este malware pode incluir outros Trojans e ransomware. Um exemplo foi um ataque do Emotet em julho de 2019 em Lake City, Flórida, que custou à cidade $460,000 em pagamentos de ransomware, de acordo com Gizmodo. Uma análise do ataque revelou que o Emotet serviu apenas como o vetor de infecção inicial. Uma vez infectado, o Emotet baixou outro Cavalo de Troia bancário conhecido como TrickBot e o ransomware Ryuk.

Depois de ficar relativamente quieto durante a maior parte de 2019, o Emotet voltou com força. Em setembro de 2019, o site Malwarebytes Labs informou sobre uma campanha de spam orientada por botnet direcionada a vítimas alemãs, polonesas, italianas e inglesas com linhas de assunto redigidas com astúcia, como "Payment Remittance Advice" e "Overdue invoice". A abertura do documento do Microsoft Word infectado inicia uma macro que, por sua vez, baixa o Emotet de sites WordPress comprometidos.

Quem é o alvo do Emotet?

Todos são alvo do Emotet. Até agora, o Emotet atingiu indivíduos, empresas e entidades governamentais em todo os Estados Unidos e Europa, roubando logins bancários, dados financeiros e até carteiras de Bitcoin.

Um ataque notável do Emotet na cidade de Allentown, PA, exigiu ajuda direta da equipe de resposta a incidentes da Microsoft para limpar e supostamente custou à cidade mais de $1M para consertar.

Agora que o Emotet está sendo usado para baixar e entregar outros Cavalos de Troia bancários, a lista de alvos é potencialmente ainda mais ampla. As primeiras versões do Emotet foram usadas para atacar clientes bancários na Alemanha. Versões posteriores do Emotet visaram organizações no Canadá, Reino Unido e Estados Unidos.

"Um ataque notável do Emotet à cidade de Allentown, PA, exigiu ajuda direta da equipe de resposta a incidentes da Microsoft para ser limpo e, segundo consta, custou à cidade mais de US$ 1 milhão para ser corrigido."

Como posso me proteger do Emotet?

Estamos já dando o primeiro passo para se proteger do Emotet ao aprender como o Emotet funciona. Aqui estão mais algumas etapas que você pode seguir:

Mantenha seu computador/endpoints atualizados com os patches mais recentes para o Microsoft Windows. O TrickBot geralmente é entregue como uma carga útil secundária do Emotet, e sabemos que o TrickBot depende da vulnerabilidade Windows EternalBlue para fazer seu trabalho sujo, portanto, corrija essa vulnerabilidade antes que os criminosos cibernéticos possam tirar proveito dela.
Não faça download de anexos suspeitos nem clique em um link de aparência duvidosa. O Emotet não conseguirá se estabelecer inicialmente em seu sistema ou rede se você evitar esses e-mails suspeitos. Dedique um tempo para instruir seus usuários sobre como identificar o malspam.
Eduque a si mesmo e aos seus usuários sobre como criar uma senha forte. Enquanto estiver fazendo isso, comece a usar a autenticação de dois fatores.
Você pode se proteger e proteger seus usuários do Emotet com um programa robusto de cibersegurança que inclui proteção em várias camadas. Os produtos para empresas e consumidores premium da Malwarebytes detectam e bloqueiam o Emotet em tempo real.

Como posso remover o Emotet?

Se suspeitar que já foi infectado pelo Emotet, não se desespere. Se seu computador estiver conectado a uma rede — isole-o imediatamente. Uma vez isolado, proceda para corrigir e limpar o sistema infectado. Mas você ainda não terminou. Devido à maneira como o Emotet se espalha pela rede, um computador limpo pode ser reinfectado ao ser reconectado a uma rede infectada. Limpe cada computador em sua rede um a um. É um processo trabalhoso, mas soluções de negócios da Malwarebytes podem facilitar, isolando e remediando endpoints infectados e oferecendo proteção proativa contra futuras infecções de Emotet.

Se saber é metade da batalha, vá até o site Malwarebytes Labs e você poderá saber mais sobre como o Emotet evita a detecção e como o código do Emotet funciona.