Emotet

O Emotet é um tipo de malware originalmente concebido como um Trojan bancário destinado a roubar dados financeiros, mas evoluiu para se tornar uma grande ameaça para os utilizadores em todo o mundo.

.st0{fill:#0D3ECC;} DESCARREGAR MALWAREBYTES GRATUITAMENTE

Também para Windows, iOS, Android, Chromebook e Para empresas

Falemos do malware Emotet

É possível que tenha ouvido falar do Emotet nas notícias. O que é que se passa? Um rei do Antigo Egito, a banda emo preferida da tua irmã adolescente? Receamos que não.

O Trojan bancário Emotet foi identificado pela primeira vez por investigadores de segurança em 2014. O Emotet foi originalmente concebido como um malware bancário que tentava entrar furtivamente no computador do utilizador e roubar informações sensíveis e privadas. Em versões posteriores do software foram adicionados serviços de spam e de entrega de malware, incluindo outros Trojans bancários.

O Emotet usa uma funcionalidade que ajuda o software a evitar a deteção por alguns produtos anti-malware. O Emotet usa capacidades semelhantes a um worm para ajudar a espalhar-se por outros computadores ligados. Isso ajuda na distribuição do malware. Esta funcionalidade levou o Departamento de Segurança Interna a concluir que o Emotet é um dos malwares mais dispendiosos e destrutivos, afectando os sectores governamental e privado, indivíduos e organizações, e custando mais de 1 milhão de dólares por incidente para ser limpo.

O que é o Emotet?

O Emotet é um Trojan que se propaga principalmente através de e-mails de spam(malspam). A infeção pode chegar através de um script malicioso, ficheiros de documentos com macros activadas ou links maliciosos. Os e-mails do Emotet podem conter uma marca familiar concebida para se parecer com um e-mail legítimo. O Emotet pode tentar persuadir os utilizadores a clicar nos ficheiros maliciosos, usando uma linguagem tentadora sobre "A sua fatura", "Detalhes de pagamento", ou possivelmente um próximo envio de empresas de encomendas bem conhecidas.

O Emotet passou por algumas iterações. As primeiras versões surgiram como um ficheiro JavaScript malicioso. As versões posteriores evoluíram para utilizar documentos com macros para obter o payload do vírus a partir de servidores de comando e controlo (C&C) geridos pelos atacantes. 

O Emotet utiliza uma série de truques para tentar evitar a deteção e análise. Nomeadamente, o Emotet sabe se está a ser executado dentro de uma máquina virtual (VM) e fica inativo se detetar um ambiente de sandbox, que é uma ferramenta que os investigadores de cibersegurança utilizam para observar malware num espaço seguro e controlado.

O Emotet também utiliza servidores C&C para receber actualizações. Isto funciona da mesma forma que as actualizações do sistema operativo no seu PC e pode acontecer sem problemas e sem quaisquer sinais exteriores. Isto permite que os atacantes instalem versões actualizadas do software, instalem malware adicional, como outros cavalos de Troia bancários, ou actuem como um local de despejo para informações roubadas, como credenciais financeiras, nomes de utilizador e palavras-passe e endereços de e-mail.

Notícias Emotet

Como é que o Emotet se propaga?

O principal método de distribuição do Emotet é através de malspam. O Emotet invade a sua lista de contactos e envia-se para os seus amigos, família, colegas de trabalho e clientes. Uma vez que estes e-mails são provenientes da sua conta de e-mail sequestrada, os e-mails parecem menos como spam e os destinatários, sentindo-se seguros, estão mais inclinados a clicar em URLs maus e a descarregar ficheiros infectados.

Se existir uma rede ligada, o Emotet propaga-se usando uma lista de palavras-passe comuns, adivinhando o seu caminho para outros sistemas ligados através de um ataque de força bruta. Se a palavra-passe do importantíssimo servidor de recursos humanos for simplesmente "password", é provável que o Emotet encontre aí o seu caminho.

Inicialmente, os investigadores pensavam que o Emotet também se propagava usando as vulnerabilidades EternalBlue/DoublePulsar, que foram responsáveis pelos ataques WannaCry e NotPetya. Sabemos agora que não é esse o caso. O que levou os investigadores a esta conclusão foi o facto de o TrickBot, um Trojan frequentemente propagado pelo Emotet, utilizar a exploração EternalBlue para se propagar através de uma determinada rede. Era o TrickBot, e não o Emotet, que estava a tirar partido das vulnerabilidades EternalBlue/DoublePulsar.

Qual é a história do Emotet?

Identificado pela primeira vez em 2014, o Emotet continua a infetar sistemas e a prejudicar os utilizadores até hoje, razão pela qual ainda estamos a falar dele, ao contrário de outras tendências de 2014 (Ice Bucket Challenge, alguém?).

A primeira versão do Emotet foi concebida para roubar dados de contas bancárias através da interceção do tráfego na Internet. Pouco tempo depois, foi detectada uma nova versão do software. Esta versão, baptizada de Emotet versão dois, vinha com vários módulos, incluindo um sistema de transferência de dinheiro, um módulo de malspam e um módulo bancário que visava os bancos alemães e austríacos.

"As versões actuais do Trojan Emotet incluem a capacidade de instalar outro malware nas máquinas infectadas. Este malware pode incluir outros Trojans bancários ou serviços de entrega de malspam."

Em janeiro de 2015, uma nova versão do Emotet apareceu em cena. A versão três continha modificações furtivas concebidas para manter o malware a passar despercebido e acrescentava novos alvos bancários suíços.

Avançando para 2018, as novas versões do Trojan Emotet incluem a capacidade de instalar outro malware nas máquinas infectadas. Este malware pode incluir outros Trojans e ransomware. Um caso em questão, um ataque do Emotet em julho de 2019 em Lake City, Flórida, custou à cidade US $ 460.000 em pagamentos de ransomware, de acordo com o Gizmodo. Uma análise do ataque descobriu que o Emotet serviu apenas como o vetor de infeção inicial. Uma vez infetado, o Emotet baixou outro Trojan bancário conhecido como TrickBot e o ransomware Ryuk.

Depois de ficar relativamente quieto durante a maior parte de 2019, o Emotet voltou com força. Em setembro de 2019, Malwarebytes Labs relatou uma campanha de spam conduzida por uma botnet dirigida a vítimas alemãs, polacas, italianas e inglesas com linhas de assunto astutamente redigidas como "Payment Remittance Advice" e "Overdue invoice". A abertura do documento Microsoft Word infetado inicia uma macro que, por sua vez, descarrega o Emotet de sites WordPress comprometidos.

Quem é o alvo do Emotet?

Toda a gente é um alvo para o Emotet. Até à data, o Emotet atacou indivíduos, empresas e entidades governamentais nos Estados Unidos e na Europa, roubando logins bancários, dados financeiros e até carteiras Bitcoin.

Um ataque notável do Emotet à cidade de Allentown, PA, exigiu a ajuda direta da equipa de resposta a incidentes da Microsoft para ser limpo e, segundo consta, custou à cidade mais de 1 milhão de dólares para ser reparado.

Agora que o Emotet está a ser utilizado para descarregar e distribuir outros cavalos de Troia bancários, a lista de alvos é potencialmente ainda mais vasta. As primeiras versões do Emotet foram utilizadas para atacar clientes bancários na Alemanha. Versões posteriores do Emotet visavam organizações no Canadá, no Reino Unido e nos Estados Unidos.

"Um ataque notável do Emotet à cidade de Allentown, PA, exigiu a ajuda direta da equipa de resposta a incidentes da Microsoft para ser limpo e, alegadamente, custou à cidade mais de 1 milhão de dólares para ser corrigido."

Como é que me posso proteger do Emotet?

Já está a dar o primeiro passo para se proteger a si e aos seus utilizadores do Emotet ao aprender como o Emotet funciona. Aqui estão alguns passos adicionais que pode dar:

  1. Mantenha o seu computador/pontos de extremidade actualizados com os últimos patches para o Microsoft Windows. O TrickBot é muitas vezes entregue como uma carga útil secundária do Emotet, e sabemos que o TrickBot depende da vulnerabilidadeEternalBlue Windows para fazer o seu trabalho sujo, por isso corrija essa vulnerabilidade antes que os cibercriminosos possam tirar partido dela.
  2. Não descarregue anexos suspeitos nem clique numa hiperligação de aspeto duvidoso. O Emotet não conseguirá obter o ponto de apoio inicial no seu sistema ou rede se evitar esses e-mails suspeitos. Dedique algum tempo a educar os seus utilizadores sobre como detetar o malspam.
  3. Informe-se a si e aos seus utilizadores sobre a criação de uma palavra-passe forte. Já agora, comece a utilizar a autenticação de dois factores.
  4. Pode proteger-se a si e aos seus utilizadores do Emotet com um programa de segurança cibernética robusto que inclui proteção em várias camadas. Os produtos Malwarebytes para empresas e consumidores premium detectam e bloqueiam o Emotet em tempo real.  

Como é que posso remover o Emotet?

Se suspeita que já foi infetado pelo Emotet, não se assuste. Se o seu computador estiver ligado a uma rede, isole-o imediatamente. Uma vez isolado, proceda à correção e limpeza do sistema infetado. Mas ainda não acabou. Devido à forma como o Emotet se espalha pela rede, um computador limpo pode ser reinfectado quando ligado novamente a uma rede infetada. Limpe cada computador da sua rede, um a um. É um processo tedioso, mas as soluções empresariaisMalwarebytes podem torná-lo mais fácil, isolando e remediando pontos finais infectados e oferecendo proteção proactiva contra futuras infecções pelo Emotet.

Se saber é metade da batalha, vá para a página Malwarebytes Labs e pode aprender mais sobre como o Emotet evita a deteção e como o código do Emotet funciona.