Emotet, o malware mais difundido está de volta!

O malware Emotet está de volta e reconstrói seu Botnet via TrickBot. Esse malware é conhecido por usar campanhas de spam e anexos maliciosos.

O retorno do malware Emotet alerta para novos ataques de ransomware
Imagem: Cyfirma

O malware Emotet está de volta, mais uma vez. Ele já foi considerado o malware mais disseminado, fazendo uso de campanhas de spam e anexos maliciosos para fazer vítimas em todo o mundo. Mesmo sendo “derrotado”, os hackers sempre encontram uma maneira de o fortalecer.

Esse novo retorno traz um malware ainda mais “esperto”, capaz de usar dispositivos infectados para realizar outras campanhas de spam e instalar outras cargas, como o malware QakBot (Qbot) e Trickbot, por exemplo.

Uma vez instaladas, essas cargas úteis seriam então usadas para fornecer acesso inicial aos agentes de ameaça para implantar ransomware, incluindo Ryuk, Conti, ProLock, Egregor e muitos outros, conforme aponta o BleepingComputer.

Emotet retorna mesmo após operação internacional e aplicação de lei

O malware teve uma baixa no início do ano, quando uma ação internacional de aplicação da lei coordenada pela Europol e a Eurojust  assumiu a infraestrutura da Emotet e prendeu duas pessoas. A aplicação da lei alemã usou a infraestrutura para entregar um módulo Emotet que desinstalou o malware de dispositivos infectados em 25 de abril de 2021.

emotet-o-malware-mais-difundido-esta-de-volta

No entanto, agora, de acordo com o BleepingComputer, pesquisadores de Cryptolaemus, GData e Advanced Intel começaram a ver o malware TrickBot derrubando uma carga para Emotet em dispositivos infectados.

Assim, o método parece invertido agora, já que no passado o Emotet era quem instalava o TrickBot. Agora, os cibercriminosos estão usando um método denominado “Operação Reacharound” para reconstruir o botnet Emotet usando a infraestrutura existente do TrickBot.

O especialista da Emotet e pesquisador do Cryptolaemus Joseph Roosen disse ao BleepingComputer que eles não tinham visto nenhum sinal do botnet Emotet realizando atividade de spam ou encontrado qualquer documento malicioso liberando o malware.

De acordo com o site, essa falta de atividade de spam é provavelmente devido à reconstrução da infraestrutura do Emotet do zero e novos e-mails de cadeia de resposta sendo roubados das vítimas em futuras campanhas de spam.

Malware Emotet em reconstrução

emotet-o-malware-mais-difundido-esta-de-volta
Imagem: Reprodução | BleepingComputer

O grupo de pesquisa Emotet Cryptolaemus começou a analisar a nova carga do Emotet e disse ao BleepingComputer que ele inclui novas mudanças em comparação com as variantes anteriores. De acordo com Vitali Kremez, da Advanced Intel, que também analisou o novo dropper Emotet, alertou que o renascimento do botnet de malware provavelmente levaria a um aumento nas infecções de ransomware.

“É um primeiro sinal da possível atividade iminente do malware Emotet, alimentando as principais operações de ransomware globalmente, devido à escassez do ecossistema de carregador de commodities”, disse Kremez ao BleepingComputer em uma conversa.

A nova infraestrutura Emotet está crescendo rapidamente, com mais de 246 dispositivos infectados já atuando como servidores de comando e controle. Os administradores de rede são fortemente aconselhados a bloquear todos os endereços IP associados para evitar que seus dispositivos sejam recrutados para o botnet Emotet recém-reformado.

Via: BleepingComputer