O Emotet escalou 36 posições e se tornou a família de malwaremais ativa no primeiro trimestre, representando 9% de todos os malwaresdetectados. Uma dessas investidas mirou organizações japonesas e envolveu o sequestro de e-mails para enganar os destinatários e infectar seus PCs, tornando-se responsável por um aumento de 879% nas amostras de malwareem .XLSM (Microsoft Excel) capturadas em relação ao trimestre anterior.
Os dados são do relatório “Threat Insights” produzido pela HP Wolf Security, braço de cibersegurança da HP Inc. A equipe de pesquisa da HP identificou, no período de janeiro a março, um aumento de 27% nas detecções de spam do Emotet na comparação com o quarto trimestre de 2021 — quando a ameaça reapareceu.
Por isolar ameaças que driblaram as ferramentas de detecção e chegaram aos endpoints dos usuários, a HP Wolf Security obteve informações específicas sobre as mais novas táticas usadas pelos criminosos cibernéticos. Entre os exemplos mais relevantes, estão:
- Alternativas furtivas aos documentos maliciosos do Microsoft Office: desde que a Microsoft começou a desabilitar as macros, a HP tem percebido um aumento em outros formatos que não os do Office, incluindo arquivos do Java Archive (+476%) e JavaScript (+42%), em comparação ao trimestre anterior. É mais difícil para as organizações se defenderem contra esses ataques, porque as taxas de detecção desses tipos de arquivo costumam ser baixas, aumentando as chances de infecção.
- Há indícios de que o contrabando de HTML está em alta: o tamanho médio dos arquivos envolvidos em contrabando de HTML passou de 3 KB para 12 KB, sugerindo um aumento no uso desse tipo de ataque — técnica em que os criminosos inserem o malwarediretamente em arquivos HTML para passar pelos gateways de e-mail e evitar a detecção, obtendo acesso e roubando informações financeiras importantes. Recentemente, foram identificadas ofensivas cujo alvo eram bancos latino-americanos e africanos.
- Campanha de malware“dois em um” gera múltiplas infecções por RAT: foi descoberto um scriptde Visual Basic que estava sendo usado para iniciar ataques cibernéticos em cadeia, ocasionando múltiplas infecções em um mesmo dispositivo e dando aos invasores acesso permanente aos sistemas das vítimas via VW0rm, NjRAT e AsyncRAT.
“Nossos dados do primeiro trimestre mostram que esta é, de longe, a maior atividade do Emotet desde que o grupo foi desmantelado, no início de 2021. Um sinal claro de que seus operadores estão se reagrupando, se restabelecendo e investindo para fazer o botnet crescer. O Emotet já foi descrito pela Agência de Cibersegurança dos EUA [CISA] como sendo um dos malwaresmais destrutivos e que custam mais para serem remediados, e os operadores desse grupo costumam colaborar com grupos de ransomware, um padrão que podemos esperar que continuará. Então, o ressurgimento do Emotet é uma má notícia tanto para empresas como para o setor público”, explica Alex Holland, analista sênior de malwareda equipe de pesquisa de ameaças da HP Wolf Security. “O Emotet também seguiu favorecendo ataques habilitados por macros, talvez para conseguir fazer os vírus entrarem antes do prazo da Microsoft, que era abril, ou simplesmente porque as pessoas podem ser levadas a clicar no lugar errado.”
Veja isso
Arquivos do Excel usados de novo em campanha do Emotet
Trickbot, Emotet e Log4J são os malwares mais ativos no Brasil
Os achados da pesquisa baseiam-se em dados de milhões de endpoints que rodam a HP Wolf Security. Com isso, a empresa rastreia malwareao abrir tarefas arriscadas em micromáquinas virtuais (micro-VMs) separadas, mitigando ameaças que tenham passado por outras ferramentas de segurança. Até o momento, clientes HP clicaram em mais de 18 bilhões de anexos de e-mail, páginas da web e downloads sem violações notificadas. Por isso, esses dados dão visões exclusivas de como os agentes de ameaças usam malwarequando não estão sendo observados.
Outras descobertas importantes mostradas no relatório incluem:
- 9% das ameaças não haviam sido vistas antes de serem isoladas e 14% dos e-mails maliciosos isolados desviaram de, pelo menos, uma varredura no gateway do e-mail.
- Em média, levou mais de três dias (79 horas) para esses malwares serem identificados pela hash de outras ferramentas de segurança.
- 45% dos malwares isolados pela HP Wolf Security estavam em formatos do Office.
- As ameaças usaram 545 famílias de malwarediferentes em suas tentativas de infectar organizações, com Emotet, AgentTesla e Nemucod, sendo as três mais usadas.
- Um exploit do editor Microsoft Equation (CVE-2017-11882) representou 18% de todas as amostras maliciosas capturadas.
- 69% dos malwares detectados foram entregues via e-mail, enquanto downloads da internet foram responsáveis por 18%.
- Os anexos mais comumente usados para a entrega de malware foram planilhas (33%), executáveis e scripts (29%), arquivos (22%) e documentos (11%).
- As iscas mais comuns de phishing foram transações comerciais, tais como “order” (pedido), “payment” (pagamento), “purchase” (compra), “request” (requisição) e “invoice” (nota fiscal).
