O Emotet vem fazendo suas vítimas de phishing há algum tempo e tem mantido o ritmo dos ataques. No entanto, agora, podemos ter mais uma arama contra ele. O Japan CERT lançou uma nova versão de seu utilitário EmoCheck para detectar novas versões de 64 bits do malware Emotet que começou a infectar usuários este mês.
Malware Emotet
O Emotet é um dos malwares mais ativamente distribuídos por e-mails usando e-mails de phishing com anexos maliciosos, incluindo documentos do Word/Excel, atalhos do Windows, arquivos ISO e arquivos zip protegidos por senha.
Os e-mails de phishing usam iscas criativas para induzir os usuários a abrir os anexos, incluindo e-mails de cadeia de resposta, avisos de remessa, documentos fiscais, relatórios contábeis ou até convites para festas de fim de ano.
Quando um dispositivo é infectado, o Emotet rouba os e-mails dos usuários para serem usados em futuros ataques de phishing de cadeia de resposta e baixa outras cargas de malware no computador. Como outros malwares geralmente levam a roubo de dados e ataques de ransomware, é crucial detectar infecções por malware Emotet rapidamente antes que mais danos sejam causados.
EmoCheck atualizado para versões de 64 bits
Em 2020, o CERT do Japão (equipe de resposta a emergências de computadores) lançou uma ferramenta gratuita chamada EmoCheck para verificar um computador em busca de infecções por Emotet. Se um for detectado, ele exibirá o caminho completo para a infecção por malware para que possa ser excluído.
No entanto, no início deste mês, a turma do Emotet mudou para versões de 64 bits de seu carregador e ladrões, tornando as detecções existentes menos úteis. Além disso, com essa opção, a ferramenta EmoCheck não pôde mais detectar as novas versões do Emotet de 64 bits. Felizmente, esta semana, a JPCERT lançou o EmoCheck 2.2 para suportar as novas versões de 64 bits e agora pode detectá-las, conforme mostrado abaixo.
Para verificar se você está infectado com o Emotet, você pode baixar o utilitário EmoCheck do repositório GitHub do Japan CERT. Uma vez baixado, clique duas vezes em emocheck_x64.exe (versão de 64 bits) ou emocheck_x86.exe (versão de 32 bits), dependendo do que você baixou.
O EmoCheck verificará o Trojan Emotet e, se o malware for detectado, exibirá o ID do processo em que está sendo executado e a localização da DLL do malware. O Emotet está sendo instalado em uma pasta aleatória em C:\Users[username]\AppData\Local. Embora o malware Emotet seja uma DLL, ele não terá a extensão DLL, mas sim uma extensão aleatória de três letras, como .bbo ou .qvp.
Um exemplo de uma infecção por malware Emotet instalado pode ser visto abaixo.
O EmoCheck também criará um log na mesma pasta do programa que contém as informações detectadas, permitindo que você as consulte conforme necessário. Se você executar o EmoCheck e descobrir que está infectado, deverá abrir imediatamente o Gerenciador de Tarefas e encerrar o processo listado, geralmente regsvr32.exe. Em seguida, você deve verificar seu computador com um software antivírus confiável para garantir que outro malware ainda não tenha sido instalado em seu dispositivo.
Essa ferramenta pode ser útil para administradores do Windows, que podem executá-la no login para detectar infecções por Emotet em sua rede.
Via: BleepingComputer
