Ciberataques do Emotet retornam após pausa de três meses

Operadores do malware passaram a enviar novamente e-mails maliciosos na manhã desta terça-feira, 7, após uma pausa de três meses, para infectar dispositivos em todo o mundo.
Da Redação
08/03/2023

O Emotet é um malware bastante “popular” distribuído por e-mail com anexos maliciosos de documentos do Word e Excel da Microsoft. Quando os usuários abrem esses documentos e as macros são ativadas, o Emotet DLL é baixado e carregado na memória. Assim que é carregado, o malware ficará imobilizado, aguardando instruções de um comando remoto e servidor de comando e controle (C&C).

Eventualmente, o malware roubará e-mails e contatos das vítimas para uso em futuras campanhas do Emotet ou baixará cargas adicionais, como Cobalt Strike ou outro malware que geralmente leva a ataques de ransomware. Embora tenha sido considerado o malware mais distribuído no passado, ele desacelerou gradualmente, com sua última operação de spam vista em novembro de 2022. No entanto, mesmo assim, o spam durou apenas duas semanas.

Nesta terça-feira, a empresa de segurança cibernética Cofense e o grupo de rastreamento Emotet Cryptolaemus alertaram que a botnet Emotet voltou a enviar e-mails. 

“A partir de 1200UTC, Ivan finalmente conseguiu E4 para enviar spam. Estamos vendo modelos do Red Dawn que são muito grandes chegando a mais de 500 MB. Atualmente vendo um fluxo decente de spam. Septeto de URLs de carga útil e macros feias”, twittou Cryptolaemus. 

Veja isso
Emotet se recicla e ganha módulo de roubo de cartão de crédito
Falsos arquivos do pacote Office contêm malware Emotet

Segundo a Cofense, em vez de usar e-mails de cadeia de resposta como na campanha anterior, os operadores de ameaças estão utilizando e-mails que fingem ser faturas. Anexados a esses e-mails estão arquivos ZIP contendo documentos do Word inflados com mais de 500 MB de tamanho. Eles estão inchados para tornar mais difícil para as soluções antivírus escaneá-los e detectá-los como maliciosos.

Depois de instalado, o malware é executado em segundo plano, aguardando comandos, que provavelmente instalarão mais cargas úteis no dispositivo. As cargas úteis permitem que outros operadores de ameaças acessem remotamente o dispositivo, que é usado para se espalhar ainda mais na rede comprometida. Esses ataques geralmente levam ao roubo de dados e ataques completos de ransomware em redes violadas.

A Cofense diz que não verificou nenhuma carga adicional sendo descartada agora, e o malware está apenas coletando dados para futuras campanhas de spam.

Compartilhar:

Últimas Notícias