Emotet

O Emotet é um tipo de malware originalmente projetado como um cavalo de Troia bancário destinado a roubar dados financeiros, mas que evoluiu e se tornou uma grande ameaça para os usuários de todo o mundo.

.st0{fill:#0D3ECC;} FAÇA O DOWNLOAD GRATUITO DO SITE MALWAREBYTES

Também para Windows, iOS, Android, Chromebook e For Business

Vamos falar sobre o malware Emotet

Talvez você já tenha ouvido falar do Emotet nas notícias. O que é isso? Um rei do Egito Antigo, a banda emo favorita de sua irmã adolescente? Receamos que não.

O Trojan bancário Emotet foi identificado pela primeira vez por pesquisadores de segurança em 2014. O Emotet foi originalmente projetado como um malware bancário que tentava entrar furtivamente em seu computador e roubar informações confidenciais e privadas. Versões posteriores do software adicionaram serviços de spam e de entrega de malware, incluindo outros cavalos de Troia bancários.

O Emotet usa uma funcionalidade que ajuda o software a evitar a detecção por alguns produtos antimalware. O Emotet usa recursos semelhantes aos de um worm para ajudar a se espalhar para outros computadores conectados. Isso ajuda na distribuição do malware. Essa funcionalidade levou o Department of Homeland Security a concluir que o Emotet é um dos malwares mais caros e destrutivos, afetando setores governamentais e privados, indivíduos e organizações, e custando mais de US$ 1 milhão por incidente para ser limpo.

O que é Emotet?

O Emotet é um cavalo de Troia que se espalha principalmente por meio de e-mails de spam(malspam). A infecção pode chegar por meio de um script malicioso, arquivos de documentos habilitados para macro ou links maliciosos. Os e-mails do Emotet podem conter uma marca conhecida, projetada para parecer um e-mail legítimo. O Emotet pode tentar persuadir os usuários a clicar nos arquivos maliciosos usando uma linguagem tentadora sobre "Sua fatura", "Detalhes de pagamento" ou possivelmente uma remessa futura de empresas de encomendas conhecidas.

O Emotet passou por algumas iterações. As primeiras versões eram apresentadas como um arquivo JavaScript malicioso. As versões posteriores evoluíram para usar documentos habilitados para macro para recuperar a carga útil do vírus dos servidores de comando e controle (C&C) executados pelos atacantes. 

O Emotet usa uma série de truques para tentar evitar a detecção e a análise. Em particular, o Emotet sabe se está sendo executado em uma máquina virtual (VM) e ficará inativo se detectar um ambiente sandbox, que é uma ferramenta que os pesquisadores de segurança cibernética usam para observar o malware em um espaço seguro e controlado.

O Emotet também usa servidores C&C para receber atualizações. Isso funciona da mesma forma que as atualizações do sistema operacional em seu PC e pode ocorrer sem problemas e sem nenhum sinal externo. Isso permite que os atacantes instalem versões atualizadas do software, instalem malware adicional, como outros cavalos de Troia bancários, ou atuem como um depósito de informações roubadas, como credenciais financeiras, nomes de usuário e senhas e endereços de e-mail.

Notícias da Emotet

Como o Emotet se espalha?

O principal método de distribuição do Emotet é por meio de malspam. O Emotet invade sua lista de contatos e se envia para seus amigos, familiares, colegas de trabalho e clientes. Como esses e-mails são provenientes de sua conta de e-mail sequestrada, eles não se parecem tanto com spam e os destinatários, sentindo-se seguros, ficam mais inclinados a clicar em URLs ruins e baixar arquivos infectados.

Se uma rede conectada estiver presente, o Emotet se espalha usando uma lista de senhas comuns, adivinhando seu caminho para outros sistemas conectados em um ataque de força bruta. Se a senha do importantíssimo servidor de recursos humanos for simplesmente "senha", é provável que o Emotet chegue até lá.

Os pesquisadores inicialmente pensaram que o Emotet também se espalhou usando as vulnerabilidades EternalBlue/DoublePulsar, que foram responsáveis pelos ataques WannaCry e NotPetya. Sabemos agora que esse não é o caso. O que levou os pesquisadores a essa conclusão foi o fato de que o TrickBot, um cavalo de Troia frequentemente disseminado pelo Emotet, faz uso da exploração EternalBlue para se disseminar em uma determinada rede. Foi o TrickBot, e não o Emotet, que se aproveitou das vulnerabilidades EternalBlue/DoublePulsar.

Qual é o histórico do Emotet?

Identificado pela primeira vez em 2014, o Emotet continua infectando sistemas e prejudicando os usuários até hoje, e é por isso que ainda estamos falando sobre ele, ao contrário de outras tendências de 2014 (Ice Bucket Challenge, alguém?).

A primeira versão do Emotet foi projetada para roubar detalhes de contas bancárias por meio da interceptação do tráfego da Internet. Pouco tempo depois, uma nova versão do software foi detectada. Essa versão, batizada de Emotet versão dois, veio com vários módulos, incluindo um sistema de transferência de dinheiro, um módulo de malspam e um módulo bancário que tinha como alvo bancos alemães e austríacos.

"As versões atuais do cavalo de Troia Emotet incluem a capacidade de instalar outros malwares nas máquinas infectadas. Esse malware pode incluir outros cavalos de Troia bancários ou serviços de entrega de malspam."

Em janeiro de 2015, uma nova versão do Emotet apareceu em cena. A versão três continha modificações furtivas projetadas para manter o malware fora do radar e acrescentou novos alvos bancários suíços.

Avançando para 2018, as novas versões do cavalo de Troia Emotet incluem a capacidade de instalar outros malwares nas máquinas infectadas. Esse malware pode incluir outros cavalos de Troia e ransomware. Por exemplo, um ataque do Emotet em julho de 2019 em Lake City, Flórida, custou à cidade US$ 460.000 em pagamentos de ransomware, de acordo com o Gizmodo. Uma análise do ataque revelou que o Emotet serviu apenas como vetor inicial de infecção. Uma vez infectado, o Emotet baixou outro cavalo de Troia bancário conhecido como TrickBot e o ransomware Ryuk.

Depois de ficar relativamente quieto durante a maior parte de 2019, o Emotet voltou com força. Em setembro de 2019, o site Malwarebytes Labs informou sobre uma campanha de spam orientada por botnet direcionada a vítimas alemãs, polonesas, italianas e inglesas com linhas de assunto redigidas com astúcia, como "Payment Remittance Advice" e "Overdue invoice". A abertura do documento do Microsoft Word infectado inicia uma macro que, por sua vez, baixa o Emotet de sites WordPress comprometidos.

Quem é o alvo do Emotet?

Todo mundo é um alvo para o Emotet. Até o momento, o Emotet atacou indivíduos, empresas e entidades governamentais nos Estados Unidos e na Europa, roubando logins bancários, dados financeiros e até carteiras de Bitcoin.

Um ataque notável do Emotet à cidade de Allentown, PA, exigiu ajuda direta da equipe de resposta a incidentes da Microsoft para ser limpo e, segundo consta, custou à cidade mais de US$ 1 milhão para ser corrigido.

Agora que o Emotet está sendo usado para baixar e distribuir outros cavalos de Troia bancários, a lista de alvos é potencialmente ainda mais ampla. As primeiras versões do Emotet foram usadas para atacar clientes de bancos na Alemanha. Versões posteriores do Emotet visavam organizações no Canadá, no Reino Unido e nos Estados Unidos.

"Um ataque notável do Emotet à cidade de Allentown, PA, exigiu ajuda direta da equipe de resposta a incidentes da Microsoft para ser limpo e, segundo consta, custou à cidade mais de US$ 1 milhão para ser corrigido."

Como posso me proteger do Emotet?

Você já está dando o primeiro passo para proteger a si mesmo e aos seus usuários do Emotet ao aprender como o Emotet funciona. Aqui estão algumas etapas adicionais que você pode seguir:

  1. Mantenha seu computador/endpoints atualizados com os patches mais recentes para o Microsoft Windows. O TrickBot geralmente é entregue como uma carga útil secundária do Emotet, e sabemos que o TrickBot depende da vulnerabilidade Windows EternalBlue para fazer seu trabalho sujo, portanto, corrija essa vulnerabilidade antes que os criminosos cibernéticos possam tirar proveito dela.
  2. Não faça download de anexos suspeitos nem clique em um link de aparência duvidosa. O Emotet não conseguirá se estabelecer inicialmente em seu sistema ou rede se você evitar esses e-mails suspeitos. Dedique um tempo para instruir seus usuários sobre como identificar o malspam.
  3. Eduque a si mesmo e aos seus usuários sobre como criar uma senha forte. Enquanto estiver fazendo isso, comece a usar a autenticação de dois fatores.
  4. Você pode proteger a si mesmo e a seus usuários contra o Emotet com um programa robusto de segurança cibernética que inclui proteção em várias camadas. Malwarebytes produtos paraempresas e consumidores premium detectam e bloqueiam o Emotet em tempo real.  

Como posso remover o Emotet?

Se você suspeitar que já foi infectado pelo Emotet, não entre em pânico. Se o seu computador estiver conectado a uma rede, isole-o imediatamente. Uma vez isolado, proceda à correção e à limpeza do sistema infectado. Mas você ainda não terminou. Devido à maneira como o Emotet se espalha pela rede, um computador limpo pode ser reinfectado quando conectado novamente a uma rede infectada. Limpe cada computador em sua rede, um a um. É um processo tedioso, mas as soluções empresariais daMalwarebytes podem facilitar esse processo, isolando e corrigindo endpoints infectados e oferecendo proteção proativa contra futuras infecções pelo Emotet.

Se saber é metade da batalha, vá até o site Malwarebytes Labs e você poderá saber mais sobre como o Emotet evita a detecção e como o código do Emotet funciona.