More

    Há uma razão para sua caixa de entrada ter mais spam malicioso – o Emotet está de volta


    O Emotet, o botnet mais caro e destrutivo do mundo, retornou de um hiato de cinco meses na sexta-feira com uma explosão de spam malicioso destinado a espalhar um backdoor que instala ransomware, trojans de fraude bancária e outros malwares desagradáveis.

    A botnet enviou pesadas 250.000 mensagens durante o dia, principalmente para pessoas nos Estados Unidos e no Reino Unido, disse à Ars Sherrod DeGrippo, diretor sênior de pesquisa e detecção de ameaças da empresa de segurança Proofpoint. Outros pesquisadores disseram que os alvos também estavam localizados no Oriente Médio, América do Sul e África. A botnet seguiu seu padrão característico de enviar um documento malicioso ou um link para um arquivo malicioso que, quando ativado, instala o backdoor do Emotet.

    Um mapa mostrando onde Emotet chegou na sexta-feira.
    Prolongar / Um mapa mostrando onde Emotet chegou na sexta-feira.

    A botnet deu suas primeiras indicações de retorno na terça-feira, com pequenos volumes de mensagens sendo enviados. As amostras de email que apareceram nas contas do Twitter dos monitores de ameaças abuse.ch e Spamhaus eram assim:

    O ressurgimento de Emotet na sexta-feira também foi visto pelo provedor de antivírus Malwarebytes e Microsoft.

    Caixa de truques

    Emotet provou ser uma das ameaças mais engenhosas para enfrentar as pessoas nos últimos anos. Os e-mails geralmente parecem chegar de uma pessoa com a qual o alvo correspondeu no passado. As mensagens maliciosas geralmente usam as linhas de assunto e os corpos dos segmentos de email anteriores dos quais os dois participaram. O Emotet obtém essas informações coletando as listas de contatos e as caixas de entrada dos computadores infectados.

    A técnica tem um benefício duplo. Isso engana o alvo a pensar que a mensagem pode ser confiável porque vem de um amigo conhecido, conhecido ou associado de negócios que está acompanhando um assunto discutido anteriormente. A inclusão de conteúdo autêntico também torna mais difícil para os filtros de spam detectar os e-mails como maliciosos.

    Outro dos truques inteligentes do Emotet: rouba nomes de usuário e senhas para servidores de e-mail enviados. A botnet usa as credenciais para enviar email desses servidores, em vez de depender de sua própria infraestrutura. Como os servidores confiáveis ​​enviam as mensagens maliciosas, é mais difícil para os produtos de segurança detectar e bloquear.

    Bater e correr

    DeGrippo disse que a última vez que a Emotet se mostrou foi durante cinco dias no início de fevereiro, que entregou cerca de 1,8 milhão de mensagens. A botnet é conhecida por fazer grandes explosões por curtos períodos de tempo e depois ficar em silêncio por semanas ou meses seguidos. Em setembro passado, acordou de um sono de quatro meses.

    O grupo é conhecido por fazer longas pausas e tirar folgas regularmente nos fins de semana e nos principais períodos de férias. Fiel ao seu padrão normal, a última atividade do Emotet havia parado completamente na manhã de sábado, quando este post foi publicado. Além de permitir que seus funcionários mantenham um equilíbrio saudável entre vida profissional e pessoal, o cronograma torna as campanhas mais bem-sucedidas.

    “A chave para a maioria dos atores de ameaças é minimizar o tempo entre quando [malicious mail] atinge a caixa de entrada e quando é aberta pelo alvo “. DeGrippo explicou. “Quanto mais tempo decorrido, maior o risco para o agente de ameaças de que sua carga não seja entregue devido aos controles atenuantes”.

    As mensagens Emotet incluem documentos maliciosos do Microsoft Word ou arquivos PDF ou URLs vinculados a arquivos maliciosos do Word. Os documentos do Word contêm macros que, quando ativadas, instalam o backdoor do Emotet. O backdoor normalmente espera um período de dias antes de instalar o malware subsequente, como o Trojan bancário TrickBot ou o Ryuk ransomware.

    Os pesquisadores publicaram indicadores de compromisso a partir da explosão da mensagem de sexta-feira aqui, aqui e aqui.

    O Emotet é mais um lembrete de que as pessoas devem suspeitar muito de arquivos e links enviados por email, principalmente se parecerem fora de contexto, como quando um amigo envia uma fatura. As pessoas devem suspeitar duplamente de qualquer documento do Word que exija a habilitação de macros antes que o conteúdo possa ser exibido. Raramente existe motivo para os consumidores usarem macros; portanto, uma boa regra doméstica é nunca habilitá-los por qualquer motivo. Uma política melhor ainda é abrir documentos do Word no Google Docs, o que impede a instalação de qualquer malware no computador local.




    Artigos Recentes

    AI Weekly: maneiras construtivas de retomar o poder da Big Tech

    O Facebook lançou um conselho de supervisão independente e voltou a se comprometer com as reformas de privacidade nesta semana, mas depois de...

    Os dados devem emancipar as pessoas, diz o chefe de tecnologia dos democratas

    Nellwyn Thomas se especializou em tecnologia de campanha como vice-chefe de análises da campanha de Hillary Clinton em 2016. Fora da política, ela...

    Mythical Games lança beta privado para Blankos Block Party em 17 de novembro

    A Mythical Games está lançando um beta privado em 17 de novembro para Blankos Block Party, um jogo de plataforma de mundo aberto...

    Artigos Relacionados

    DEIXE UMA RESPOSTA

    Por favor digite seu comentário!
    Por favor, digite seu nome aqui