Malware Emotet

O Emotet (também conhecido como Heodo e Geodo) é uma família modular de malware polimórfico de acesso inicial de primeiro estágio, descoberto pela primeira vez em 2014. É considerada uma das linhagens de malware mais perigosas do mundo devido às suas inúmeras variantes exclusivas e evasivas. O Emotet começou como um trojan bancário, mas desde 2017 seus recursos têm se limitado a atuar principalmente como um trojan de acesso inicial para distribuir malware de segundo estágio de alto nível e ransomware, como Conti, Ryuk, Trickbot e Qakbot.

O Emotet é atribuído a um grupo de corretores de acesso inicial (IAB) conhecido como TA542 (também conhecido como Mummy Spider e MealyBug), que opera uma empresa criminosa de Malware como serviço (MaaS) de grande sucesso. Antes de 2015, o Emotet era vendido publicamente em fóruns da dark-net, mas agora só está disponível de forma privada para os afiliados próximos do TA542. A restrição da disponibilidade do Emotet permite que ele seja implantado de forma mais estratégica e torna mais difícil para os pesquisadores de segurança analisar a versão mais recente e desenvolver contramedidas.

2021 foi um ano especialmente agitado para a Emotet. Em janeiro de 2021, um esforço internacional combinado, incluindo a EUROPOL e o FBI, reprimiu os operadores da botnet Emotet; no entanto, a polícia ucraniana anunciou a prisão de apenas dois suspeitos. O esforço conjunto de aplicação da lei também implantou uma solução para desinfetar as vítimas da botnet zumbi do Emotet, enviando uma atualização que direcionava a desinstalação do malware. No entanto, em novembro de 2021, o Emotet surgiu novamente com novas variantes e técnicas, retornando rapidamente sua botnet à funcionalidade total.

Como um malware de primeiro estágio, o Emotet é distribuído por meio de campanhas de phishing e malspam que empregam uma ampla variedade de contextos de engenharia social, como faturas vencidas, avisos de entrega de pacotes, alertas de COVID-19 e temas bancários para induzir as vítimas a executar um anexo de e-mail armado ou uma carga útil vinculada a um URL. As cargas úteis do Emotet são geralmente incorporadas em documentos do Microsoft Office, mas o Emotet também está contido em arquivos PDF, executáveis e scripts, arquivos ZIP compactados e outros novos vetores de ataque.

Sabe-se que as cargas úteis do Emotet utilizam praticamente todas as explorações conhecidas e muitas explorações de "dia zero" não divulgadas para ficar um passo à frente dos pesquisadores de segurança. Uma vez instalado, o Emotet pode aplicar força bruta em senhas, roubar credenciais de usuário de todos os principais navegadores e clientes de e-mail e manter a persistência. O Emotet também possui recursos de movimentação lateral semelhantes aos de um worm em uma rede local e recursos de autoatualização que permitem a importação de novos módulos. Para evitar a detecção, o Emotet usa nomes de arquivos gerados aleatoriamente e altera periodicamente o local e o nome de seu executável .exe e as chaves de registro associadas ao Windows Autorun, que garantem que ele seja iniciado automaticamente quando o sistema infectado for reiniciado.

As técnicas mais eficazes do Emotet incluem as seguintes:

• Análise de informações roubadas para desenvolver contextos de engenharia social 
• Anexação de mensagens com anexos trojanizados a conversas existentes em contas de e-mail comprometidas
• Evitar a detecção de produtos de segurança que bloqueiam URLs maliciosos conhecidos usando sites invadidos para hospedar suas cargas úteis de primeiro estágio 
• Usar as contas Microsoft de suas vítimas para disseminar por meio de links do OneDrive para evitar o bloqueio
• Imitar a imagem da marca de grandes empresas para fornecer faturas falsas, informações de entrega ou ofertas de emprego falsas
• Tentativa de extorquir dinheiro das vítimas com malspam de "sextortion" coercitivo
• Uso de credenciais roubadas para se espalhar por meio de vulnerabilidades do serviço SMB
• Uso de shellcode de 64 bits e PowerShell para executar e instalar cargas úteis de segundo estágio

Os esforços para evitar um ataque do Emotet podem ser apoiados por uma maior conscientização dos usuários sobre ataques de engenharia social e phishing. No entanto, também é importante instalar, configurar e atualizar regularmente os produtos de segurança de terminais e atualizar todos os sistemas operacionais, serviços e aplicativos em todo o ambiente de TI de uma organização o mais rápido possível após seu lançamento. Os produtos BlackBerry™ Cyber Suite são atualizados continuamente para proteger seu ambiente contra a versão mais recente do Trojan Emotet.

Aqui estão as estratégias mais eficazes para evitar um ataque do Emotet:

• Configure os clientes de e-mail para notificar os usuários quando os e-mails forem originados de fora da organização
• Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing e desenvolva procedimentos operacionais padrão (SOP) para lidar com e-mails e documentos suspeitos
• Reconhecer o risco maior que os arquivos criptografados apresentam e verificar o contexto de tais documentos cuidadosamente antes de abri-los
• Use um proxy de conteúdo para monitorar o uso da Internet e restringir o acesso do usuário a sites suspeitos ou de risco
• Assegure-se de que somente softwares autorizados e assinados digitalmente sejam instalados em todos os endpoints e faça uma varredura regular para detectar e bloquear a execução de qualquer software não autorizado
• Verifique se os aplicativos do Office estão configurados com as definições Desativar todas as macros sem notificação ou Desativar todas as macros, exceto as assinadas digitalmente
• Preste atenção especial às notificações de aviso em clientes de e-mail e aplicativos do Office que podem alertá-lo sobre contextos suspeitos, como arquivos que não foram verificados quanto a malware ou que contêm macros VBA
• Instalar e configurar produtos de segurança de endpoint que farão a varredura de documentos criptografados imediatamente após serem descriptografados
• Implementar soluções Zero Trust sempre que possível, dando prioridade aos sistemas críticos