Uma operação internacional conjunta entre autoridades policiais e judiciais para fazer a higienização em massa de computadores com sistema operacional Windows que haviam sido infectados pelo Emotet conseguiu eliminar automaticamente o malware nesta segunda-feira, 26.
As autoridades começaram a enviar uma carga útil de 32 bits chamada “EmotetLoader.dll” para limpar os sistemas infectados e conseguiu assumir ao menos 700 servidores usados como parte da infraestrutura da botnet Emotet. O processo foi configurado para disparar automaticamente no domingo, 25, conforme confirmado por pesquisadores da Malwarebytes.
Logo após a remoção, um pesquisador de segurança observou uma nova carga enviada às máquinas infectadas com um código para remover o malware em uma data específica”, segundo a mesma postagem feita pela MalwareBytes. “Esse bot atualizado continha uma rotina de limpeza responsável por desinstalar o Emotet após a data de 25 de abril. O relatório original mencionava 25 de março, mas como os meses são contados a partir de 0 e não a partir de 1, o terceiro mês é, na realidade, abril”, explica o post.
A desinfecção em massa foi confirmada pelo Departamento de Justiça dos EUA.
O trojan bancário Emotet está ativo pelo menos desde 2014 e é operado por um grupo de ameaças persistentes avançadas (APT) rastreado como TA542. Em meados de agosto do ano passado, o malware foi empregado em uma campanha de spam com o tema covid-19. As campanhas de spam recentes usaram mensagens com documentos Word maliciosos, fingindo ser uma fatura, documento com informações sobre a covid-19, currículos, documentos financeiros ou digitalizados.
Veja isso
Apesar de ação para sua interrupção, Emotet ainda é a principal ameaça
Emotet, uma ameaça antiga mas persistente
O trojan bancário também é usado para disseminar outros códigos maliciosos, como os trojans Trickbot e QBot ou ransomware como Conti (TrickBot) ou ProLock (QBot). “De acordo com depoimentos, agentes da lei europeus, trabalhando em coordenação com o FBI, obtiveram acesso legal aos servidores Emotet localizados no exterior e identificaram os endereços IP de aproximadamente 1,6 milhão de computadores em todo o mundo que parecem ter sido infectados com o malware entre 1º de abril de 2020 e 17 de janeiro de 2021. Destes, mais de 45 mil computadores infectados parecem estar localizados nos Estados Unidos”, disse o Departamento de Justiça (DoJ) em nota à imprensa.
Como ocorre a desinfecção
A DLL de 32 bits (EmotetLoader.dll) possui três exportações, todas conduzindo à mesma função usada para limpar os processos infectados. O procedimento faz um loop ao verificar se o prazo expirou, neste caso, a rotina de desinstalação é chamada imediatamente. Se o prazo já expirou, a rotina de desinstalação é chamada imediatamente. Caso contrário, a thread (linha de código) é executada repetidamente fazendo a mesma verificação de tempo e, eventualmente, chamando o código de exclusão se a data já tiver passado.
A rotina de desinstalação exclui o serviço associado ao malware Emotet, a chave de execução automática do registro, tenta (mas falha) mover o arquivo para %temp% e, em seguida, encerra o processo.
A operação parece ter sido bem-sucedida, todos os servidores de comando e controle que estavam compondo a infraestrutura da botnet estão offline, conforme confirmado pelo rastreador Feodo da Abuse.ch.