Já estava com saudade? Pois, a operação do malware Emotet voltou à ativa enviando e-mails maliciosos. Os ataques marcam um retorno após quase quatro meses de “descanso”, e poucos rastros dessa operação do cibercrime. Quer saber de que maneira ele está atuando agora? Você está no lugar certo!
Salve-se quem puder do retorno do Emotet
Há alguns anos, o Emotet chegou a ganhar o título de malware mais distribuído na web. Contudo, agentes de defesa identificaram que ele parou de enviar spam em 13 de julho deste ano.
Por outro lado, pesquisadores do grupo Emotet Cryptolaemus relataram que por volta de 8:00 AM GMT, no dia 2 de novembro, a operação Emotet ressuscitou. Assim, como se não tivesse parado nenhum minuto, voltou a spammar e-mails para o mundo todo.
Uma vez que ele se implanta em um computador, o malware vai pesquisar e roubar e-mails. O objetivo é usá-los para descartar conteúdos adicionais em futuras campanhas de spam, como o Cobalt Strike ou outro malware normalmente focado em ataques de ransomware.
Entre uma das mudanças dessa nova fase do Emotet, as campanhas de e-mail estão usando outros e-mails roubados para distribuir anexos maliciosos do Excel. Quem confirmou esta informação ao BleepingComputer, foi Tommy Madjar, pesquisador de ameaças da Proofpoint e membro do Cryptolaemus.
O que mais se sabe sobre este malware
Segundo um destaque do BleepingComputer, a operação enviou anexos para pessoas de todas as regiões do planeta, nos mais variados idiomas e nomes de arquivos. Entre os documentos enviados estão, digitalizações, formulários eletrônicos, faturas falsas e outros arquivos modificados.
Além disso, depois que o malware se instala em um PC, ele é executado de forma silenciosa e em segundo plano. Entretanto, tudo isso é feito enquanto o malware se conecta ao servidor de Comando e Controle (C2), para prosseguir com a operação.
Embora no passado o Emotet tivesse a fama por instalar descaradamente o malware TrickBot e, mais recentemente, os beacons Cobalt Strike, isso parece ter mudado, segundo Madjar, os ataques atuais não agiram dessa maneira.
As infecções por Emotet foram usadas no passado para abrir caminho às redes corporativas, beneficiando principalmente grupos de ransomware, tal qual Ryuk e Conti. Vale destacar que desde o fim da Conti em junho, o Emotet foi visto sendo usado em operações de ransomware da BlackCat e Quantum.
Com informações: BleepingComputer
O que você achou? Siga @bitmagazineoficial no Instagram para ver mais e deixar seu comentário clicando aqui