O botnet Emotet retornou há poucos meses. No entanto, já infectou mais de 130.000 bots únicos espalhados por 179 países. A ação do Emotet cresce substancialmente desde sua ressurreição em novembro de 2021.
Ainda no início de 2021, autoridades policiais e judiciais em todo o mundo realizaram uma operação conjunta, que interrompeu a botnet Emotet. Na época, os investigadores assumiram o controle de sua infraestrutura em uma ação coordenada internacionalmente.
As agências de aplicação da lei conseguiram assumir pelo menos 700 servidores usados ??como parte da infraestrutura do botnet Emotet. O FBI coletou milhões de endereços de e-mail usados ??pelos operadores do Emotet em suas campanhas de malware como parte da operação de limpeza.
Notícias Relacionadas
Virtual
VirtualBox 7.1 Beta atualiza GUI modernizada e implanta suporte Wayland para compartilhamento da área de transferência
O novo VirtualBox 7.1 Beta atualiza GUI modernizada e implanta suporte Wayland para compartilhamento da área de transferência. A Oracle lançou a primeira versão beta pública de seu software de virtualização VirtualBox 7.1. O próximo lançamento do VirtualBox também contará com a GUI renovada baseada no Qt 6, novo mecanismo NAT com suporte a IPv6 […]
ASUS ROG Ally X já recebe patches do Linux
O dispositivo de jogos ASUS ROG Ally X já recebe patches do Linux. Neste fim de semana, o ASUS ROG Ally X começou a ser enviado como uma versão atualizada do console de jogos portátil ASUS ROG Ally, lançado no ano passado. O ASUS ROG Ally X ainda é alimentado pelo AMD Ryzen Z1 Extreme SoC e, em […]
Botnet Emotet
O trojan bancário Emotet está ativo pelo menos desde 2014, o botnet é operado por um agente de ameaças rastreado como TA542. O Emotet foi usado para entregar outros códigos maliciosos, como trojans Trickbot e QBot, ou ransomware como Conti, ProLock, Ryuk e Egregor.
Em novembro de 2021, pesquisadores de várias empresas de segurança cibernética relataram que os agentes de ameaças estavam usando o malware TrickBot para lançar um carregador Emoted em dispositivos infectados. Os especialistas acompanharam a campanha destinada a reconstruir o botnet Emotet usando a infraestrutura do TrickBot como Operação Reacharound.
Desde seu relatório, os operadores do Emotet acumularam um número impressionante de sistemas infectados, relataram pesquisadores do Black Lotus Labs da Lumen. Os pesquisadores apontaram que o novo botnet Emotet suporta novos recursos para evitar detecção e análise, como o uso de criptografia para tráfego de rede e a separação da lista de processos em um módulo próprio.
A nova versão usa criptografia de curva elíptica (ECC), com uma chave pública para realizar a criptografia e um algoritmo separado que é usado para realizar a validação dos dados. A nova versão também é capaz de coletar informações adicionais sobre o host infectado. Os especialistas também relataram um crescimento significativo do pool C2 no final de fevereiro a 4 de março.
Uma das características mais importantes da nova infraestrutura Emotet é a aparente ausência de Bot C2s, que são bots que receberiam um módulo UPnP que permitia que um dispositivo infectado atuasse como C2 abrindo uma porta no roteador do usuário que permitiria para o tráfego de proxy de bots Emotet para um C2 de nível superior, aponta o SecurityAffairs.
A maioria dos Emotet C2s está localizada nos Estados Unidos e na Alemanha, o restante da lista dos 10 principais países em volume de C2s inclui França, Brasil, Tailândia, Cingapura, Indonésia, Canadá, Reino Unido e Índia.
Via: SecurityAffairs
