O Emotet, um dos botnets de spam de e-mail mais perigosos da história recente, foi desinstalado ontem de todos os dispositivos infectados com a ajuda de um módulo de malware entregue em janeiro pelas autoridades. A remoção do botnet é o resultado de uma ação de aplicação da lei internacional que permitiu aos investigadores assumir o controle dos servidores do Emotet e interromper a operação do malware.
O Emotet foi usado pelo grupo de ameaça TA542 (também conhecido como Mummy Spider) para implantar cargas de malware de segundo estágio, incluindo QBot e Trickbot, nos computadores comprometidos de suas vítimas. Os ataques do TA542 geralmente levam ao comprometimento total da rede e à implantação de cargas úteis de ransomware em todos os sistemas infectados, incluindo ProLock ou Egregor da Qbot e Ryuk e Conti da TrickBot.
Como funciona o desinstalador Emotet
Após a operação de remoção, a polícia implementou uma nova configuração para infecções ativas do Emotet para que o malware começasse a usar os servidores de comando e controle controlados pelo Bundeskriminalamt, a agência de polícia federal da Alemanha. A polícia então distribuiu um novo módulo Emotet na forma de um EmotetLoader.dll de 32 bits para todos os sistemas infectados que desinstalasse automaticamente o malware ontem, 25 de abril de 2021.
Os pesquisadores de segurança do Malwarebytes, Jérôme Segura e Hasherezade, examinaram mais de perto o módulo de desinstalação entregue por policiais controlados aos servidores Emotet. Depois de alterar o relógio do sistema em uma máquina de teste para acionar o módulo, eles descobriram que ele apenas exclui os serviços associados do Windows, executa as chaves do Registro automaticamente e, em seguida, sai do processo, deixando todo o resto nos dispositivos comprometidos intactos.
Remoção de Emotet atrasada para coleta de mais evidências
Em janeiro, quando a aplicação da lei derrubou o Emotet, o BleepingComputer foi informado pela Europol que a agência da polícia federal alemã Bundeskriminalamt (BKA) era responsável por criar e implementar o módulo de desinstalação.
Em um comunicado à imprensa de 28 de janeiro, o Departamento de Justiça dos Estados Unidos (DOJ) também confirmou que o Bundeskriminalamt enviou o módulo desinstalador para computadores infectados pelo Emotet.
O BleepingComputer foi informado em janeiro pelo Bundeskriminalamt que o atraso na desinstalação foi para apreender evidências e limpar as máquinas do malware. Quando o BleepingComputer entrou em contato novamente para comentar sobre a operação de ontem, não recebeu resposta.
O FBI também se recusou a comentar quando questionado esta semana se a operação de remoção de Emotet de dispositivos localizados nos EUA ainda está planejada para ocorrer no domingo, 25 de abril. Além disso, no início deste mês, o FBI coordenou uma operação aprovada pelo tribunal para remover shells da web de servidores Microsoft Exchange dos EUA comprometidos com exploits ProxyLogon sem primeiro notificar os proprietários dos servidores.
O FBI disse que removeu apenas shells da web e não aplicou atualizações de segurança ou removeu outro malware que os agentes de ameaças possam ter implantado nos servidores.
Via: Bleeping Computer