O Emotet, o botnet mais caro e destrutivo do mundo, retornou de um hiato de cinco meses na sexta-feira com uma explosão de spam malicioso destinado a espalhar um backdoor que instala ransomware, trojans de fraude bancária e outros malwares desagradáveis.
A botnet enviou pesadas 250.000 mensagens durante o dia, principalmente para pessoas nos Estados Unidos e no Reino Unido, disse à Ars Sherrod DeGrippo, diretor sênior de pesquisa e detecção de ameaças da empresa de segurança Proofpoint. Outros pesquisadores disseram que os alvos também estavam localizados no Oriente Médio, América do Sul e África. A botnet seguiu seu padrão característico de enviar um documento malicioso ou um link para um arquivo malicioso que, quando ativado, instala o backdoor do Emotet.
A botnet deu suas primeiras indicações de retorno na terça-feira, com pequenos volumes de mensagens sendo enviados. As amostras de email que apareceram nas contas do Twitter dos monitores de ameaças abuse.ch e Spamhaus eram assim:
O ressurgimento de Emotet na sexta-feira também foi visto pelo provedor de antivírus Malwarebytes e Microsoft.
Caixa de truques
Emotet provou ser uma das ameaças mais engenhosas para enfrentar as pessoas nos últimos anos. Os e-mails geralmente parecem chegar de uma pessoa com a qual o alvo correspondeu no passado. As mensagens maliciosas geralmente usam as linhas de assunto e os corpos dos segmentos de email anteriores dos quais os dois participaram. O Emotet obtém essas informações coletando as listas de contatos e as caixas de entrada dos computadores infectados.
A técnica tem um benefício duplo. Isso engana o alvo a pensar que a mensagem pode ser confiável porque vem de um amigo conhecido, conhecido ou associado de negócios que está acompanhando um assunto discutido anteriormente. A inclusão de conteúdo autêntico também torna mais difícil para os filtros de spam detectar os e-mails como maliciosos.
Outro dos truques inteligentes do Emotet: rouba nomes de usuário e senhas para servidores de e-mail enviados. A botnet usa as credenciais para enviar email desses servidores, em vez de depender de sua própria infraestrutura. Como os servidores confiáveis enviam as mensagens maliciosas, é mais difícil para os produtos de segurança detectar e bloquear.
Bater e correr
DeGrippo disse que a última vez que a Emotet se mostrou foi durante cinco dias no início de fevereiro, que entregou cerca de 1,8 milhão de mensagens. A botnet é conhecida por fazer grandes explosões por curtos períodos de tempo e depois ficar em silêncio por semanas ou meses seguidos. Em setembro passado, acordou de um sono de quatro meses.
O grupo é conhecido por fazer longas pausas e tirar folgas regularmente nos fins de semana e nos principais períodos de férias. Fiel ao seu padrão normal, a última atividade do Emotet havia parado completamente na manhã de sábado, quando este post foi publicado. Além de permitir que seus funcionários mantenham um equilíbrio saudável entre vida profissional e pessoal, o cronograma torna as campanhas mais bem-sucedidas.
“A chave para a maioria dos atores de ameaças é minimizar o tempo entre quando [malicious mail] atinge a caixa de entrada e quando é aberta pelo alvo “. DeGrippo explicou. “Quanto mais tempo decorrido, maior o risco para o agente de ameaças de que sua carga não seja entregue devido aos controles atenuantes”.
As mensagens Emotet incluem documentos maliciosos do Microsoft Word ou arquivos PDF ou URLs vinculados a arquivos maliciosos do Word. Os documentos do Word contêm macros que, quando ativadas, instalam o backdoor do Emotet. O backdoor normalmente espera um período de dias antes de instalar o malware subsequente, como o Trojan bancário TrickBot ou o Ryuk ransomware.
Os pesquisadores publicaram indicadores de compromisso a partir da explosão da mensagem de sexta-feira aqui, aqui e aqui.
O Emotet é mais um lembrete de que as pessoas devem suspeitar muito de arquivos e links enviados por email, principalmente se parecerem fora de contexto, como quando um amigo envia uma fatura. As pessoas devem suspeitar duplamente de qualquer documento do Word que exija a habilitação de macros antes que o conteúdo possa ser exibido. Raramente existe motivo para os consumidores usarem macros; portanto, uma boa regra doméstica é nunca habilitá-los por qualquer motivo. Uma política melhor ainda é abrir documentos do Word no Google Docs, o que impede a instalação de qualquer malware no computador local.