Emotet agora instala beacons Cobalt Strike diretamente!

Emotet retorna à liderança da lista de top malwares impactando 6% das empresas no mundo e 10% no Brasil
Imagem: Reprodução | Bleeping Computer

O Emotet parece ter voltado com tudo e tem trazido muita preocupação. Em um desenvolvimento preocupante, o malware Emotet agora instala beacons Cobalt Strike diretamente. Assim, ele dá acesso imediato à rede para os agentes da ameaça e tornando os ataques de ransomware iminentes.

Vimos esse malware em destaque a maior parte deste ano e, ele parece ficar cada vez mais perigoso. O Emotet é uma infecção por malware que se espalha através de e-mails de spam contendo documentos maliciosos do Word ou Excel.

O malware acaba utilizando esses documentos utilizam macros para baixar e instalar o Trojan Emotet no computador da vítima, que é então usado para roubar e-mails e implantar outros malwares no dispositivo.

O BleepingComputer lembra que, historicamente, o Emotet instalava os cavalos de Troia TrickBot ou Qbot em dispositivos infectados. Esses Trojans eventualmente implantariam o Cobalt Strike em um dispositivo infectado ou executariam outro comportamento malicioso. Cobalt Strike é um kit de ferramentas de teste de penetração legítimo que permite que invasores implantem “beacons” em dispositivos comprometidos para realizar vigilância remota de rede ou executar outros comandos.

No entanto, Cobalt Strike é muito popular entre os agentes de ameaças que usam versões crackeadas como parte de suas violações de rede e é comumente usado em ataques de ransomware, relata o BleepingComputer.

Emotet muda sua tática de ataque

emotet-agora-instala-beacons-cobalt-strike-diretamente

A informação de que o Emotet mudou sua tática de ataque vem do Cryptolaemus da Emotet, que avisou que o Emotet agora está pulando sua carga de malware primário de TrickBot ou Qbot e instalando diretamente beacons Cobalt Strike em dispositivos infectados. Isso mesmo, ele está ainda mais perigoso.

Um alerta Flash compartilhado com o BleepingComputer pela empresa de segurança de e-mail Cofense explicou que um número limitado de infecções pelo Emotet instalou o Cobalt Strike, tentou entrar em contato com um domínio remoto e foi desinstalado.

Esta é uma mudança significativa nas táticas, pois depois que o Emotet instalou sua carga primária de TrickBot ou Qbot, as vítimas normalmente tinham algum tempo para detectar a infecção antes de o Cobalt Strike ser implantado. Agora que essas cargas de malware iniciais foram ignoradas, os agentes de ameaças terão acesso imediato a uma rede para se espalhar lateralmente, roubar dados e implantar ransomware rapidamente.

“Isso é muito importante. Normalmente, o Emotet descarta o TrickBot ou o QakBot, que por sua vez elimina o CobaltStrike. Você geralmente tem cerca de um mês entre a primeira infecção e o ransomware. Com o Emotet eliminando o CS diretamente, é provável que haja um atraso muito menor, “o pesquisador de segurança Marcus Hutchins tuitou sobre o desenvolvimento.

Esta rápida implantação de Cobalt Strike provavelmente acelerará a implantação de ransomware em redes comprometidas. Em breve, saberemos um pouco mais sobre essa nova estratégia de ataques.

Via: BleepingComputer