O malware Emotet está de volta, mais uma vez. Ele já foi considerado o malware mais disseminado, fazendo uso de campanhas de spam e anexos maliciosos para fazer vítimas em todo o mundo. Mesmo sendo “derrotado”, os hackers sempre encontram uma maneira de o fortalecer.
Esse novo retorno traz um malware ainda mais “esperto”, capaz de usar dispositivos infectados para realizar outras campanhas de spam e instalar outras cargas, como o malware QakBot (Qbot) e Trickbot, por exemplo.
Uma vez instaladas, essas cargas úteis seriam então usadas para fornecer acesso inicial aos agentes de ameaça para implantar ransomware, incluindo Ryuk, Conti, ProLock, Egregor e muitos outros, conforme aponta o BleepingComputer.
Emotet retorna mesmo após operação internacional e aplicação de lei
O malware teve uma baixa no início do ano, quando uma ação internacional de aplicação da lei coordenada pela Europol e a Eurojust assumiu a infraestrutura da Emotet e prendeu duas pessoas. A aplicação da lei alemã usou a infraestrutura para entregar um módulo Emotet que desinstalou o malware de dispositivos infectados em 25 de abril de 2021.
No entanto, agora, de acordo com o BleepingComputer, pesquisadores de Cryptolaemus, GData e Advanced Intel começaram a ver o malware TrickBot derrubando uma carga para Emotet em dispositivos infectados.
Assim, o método parece invertido agora, já que no passado o Emotet era quem instalava o TrickBot. Agora, os cibercriminosos estão usando um método denominado “Operação Reacharound” para reconstruir o botnet Emotet usando a infraestrutura existente do TrickBot.
O especialista da Emotet e pesquisador do Cryptolaemus Joseph Roosen disse ao BleepingComputer que eles não tinham visto nenhum sinal do botnet Emotet realizando atividade de spam ou encontrado qualquer documento malicioso liberando o malware.
De acordo com o site, essa falta de atividade de spam é provavelmente devido à reconstrução da infraestrutura do Emotet do zero e novos e-mails de cadeia de resposta sendo roubados das vítimas em futuras campanhas de spam.
Malware Emotet em reconstrução
O grupo de pesquisa Emotet Cryptolaemus começou a analisar a nova carga do Emotet e disse ao BleepingComputer que ele inclui novas mudanças em comparação com as variantes anteriores. De acordo com Vitali Kremez, da Advanced Intel, que também analisou o novo dropper Emotet, alertou que o renascimento do botnet de malware provavelmente levaria a um aumento nas infecções de ransomware.
“É um primeiro sinal da possível atividade iminente do malware Emotet, alimentando as principais operações de ransomware globalmente, devido à escassez do ecossistema de carregador de commodities”, disse Kremez ao BleepingComputer em uma conversa.
A nova infraestrutura Emotet está crescendo rapidamente, com mais de 246 dispositivos infectados já atuando como servidores de comando e controle. Os administradores de rede são fortemente aconselhados a bloquear todos os endereços IP associados para evitar que seus dispositivos sejam recrutados para o botnet Emotet recém-reformado.
Via: BleepingComputer