Malware Emotet está de volta e reconstruindo seu botnet via TrickBot

Segundo alguns grupos de pesquisa, o Malware Emotet está de volta e reconstruindo seu botnet via TrickBot. Confira os detalhes desse renascimento.

O malware Emotet foi considerado o malware mais amplamente difundido no passado, usando campanhas de spam e anexos maliciosos para distribuir o malware.

Emotet, então, usaria dispositivos infectados para realizar outras campanhas de spam e instalar outras cargas, como o malware QakBot (Qbot) e Trickbot.

Essas cargas úteis seriam então usadas para fornecer acesso inicial aos agentes de ameaça para implantar ransomware, incluindo Ryuk, Conti, ProLock, Egregor e muitos outros.

No início do ano, uma ação internacional de aplicação da lei coordenada pela Europol e pela Eurojust assumiu a infraestrutura da Emotet e prendeu duas pessoas.

A agência de aplicação da lei alemã usou a infraestrutura para entregar um módulo Emotet que desinstalou o malware de dispositivos infectados em 25 de abril de 2021.

Agora, o grupo de pesquisa Emotet Cryptolaemus, GData e Advanced Intel começaram a ver o malware TrickBot derrubando um carregador para Emotet em dispositivos infectados.

Enquanto no passado o Emotet instalava o TrickBot, os agentes da ameaça agora estão usando um método que o grupo Cryptolaemus chama de “Operação Reacharound”, que reconstrói o botnet usando a infraestrutura existente do TrickBot

Malware Emotet está de volta e reconstruindo seu botnet via TrickBot

Malware Emotet está de volta e reconstruindo seu botnet via TrickBot
Malware Emotet está de volta e reconstruindo seu botnet via TrickBot

O especialista da Emotet e pesquisador do Cryptolaemus Joseph Roosen disse ao site BleepingComputer que eles não tinham visto nenhum sinal do botnet Emotet realizando atividade de spam ou encontrado qualquer documento malicioso liberando o malware.

Essa falta de atividade de spam é provavelmente devido à reconstrução da infraestrutura Emotet do zero e novos e-mails de cadeia de resposta sendo roubados das vítimas em futuras campanhas de spam.

Cryptolaemus começou a analisar o novo carregador Emotet e disse ao BleepingComputer que ele inclui novas mudanças em comparação com as variantes anteriores.

“Até agora podemos confirmar definitivamente que o buffer de comando mudou. Agora existem 7 comandos em vez de 3-4. Parece haver várias opções de execução para binários baixados (já que não são apenas dlls)”, disseram os pesquisadores da Cryptolaemus à BleepingComputer.

Vitali Kremez, da Advanced Intel, também analisou o novo dropper Emotet e alertou que o renascimento do botnet de malware provavelmente levaria a um aumento nas infecções de ransomware.

“É um primeiro sinal da possível atividade iminente de malware Emotet, alimentando as principais operações de ransomware globalmente, devido à escassez do ecossistema de carregador de commodities”, disse Kremez ao BleepingComputer em uma conversa.

“Também nos diz que a remoção do Emotet não evitou que os adversários obtivessem o criador do malware e configurassem o sistema de back-end, trazendo-o de volta à vida.”

Amostras do carregador Emotet disponibilizadas pelo TrickBot podem ser encontradas em Urlhaus.

Kremez disse ao BleepingComputer que a DLL do carregador Emotet atual tem um carimbo de data/hora de compilação de “6191769A (Dom novembro 14 20:50:34 2021).”

A organização sem fins lucrativos de rastreamento de malware Abuse.ch lançou uma lista de servidores de comando e controle utilizados pelo novo botnet Emotet e sugere fortemente que os administradores de rede bloqueiem os endereços IP associados.

Infelizmente, a nova infraestrutura Emotet está crescendo rapidamente, com mais de 246 dispositivos infectados já atuando como servidores de comando e controle.

Os administradores de rede são fortemente aconselhados a bloquear todos os endereços IP associados para evitar que seus dispositivos sejam recrutados para o botnet Emotet recentemente reformado.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.