Emotet está de volta, malware já foi o mais perigoso do mundo

Emotet está de volta, malware já foi o mais perigoso do mundo. O botnet Emotet voltou e está sendo instalado em máquinas Windows que já estão infectadas com o TrickBot, alertam pesquisadores de segurança.

O Emotet, que já foi descrito como “o malware mais perigoso do mundo” antes de ser derrubado por uma grande operação policial internacional, mas aparentemente está de volta – e sendo instalado em sistemas Windows infectados com o malware TrickBot.

O malware Emotet forneceu a seus controladores uma porta dos fundos para as máquinas comprometidas, que poderia ser alugada para outros grupos, incluindo gangues de ransomware , para usar em suas próprias campanhas. Antes de ser retirado em janeiro deste ano, a Emotet também usou sistemas infectados para enviar emails de phishing automatizados para aumentar o tamanho do botnet.  

O desmantelamento do botnet foi uma das interrupções mais significativas das operações cibercriminosas nos últimos anos, à medida que as agências de aplicação da lei em todo o mundo – incluindo a Europol e o FBI – trabalharam juntas para obter o controle de centenas de servidores Emotet que controlavam milhões de PCs infectados com malware . Uma atualização killswitch especialmente criada por investigadores  desinstalou o botnet de computadores infectados em abril . 

Mas agora, pesquisadores de várias empresas de segurança cibernética avisaram que a Emotet voltou. Outro botnet de malware, o TrickBot – que se tornou o preferido  de muitos criminosos cibernéticos após a queda em janeiro  – está sendo usado para instalar o Emotet em sistemas Windows infectados. 

“Observamos em vários rastreadores do Trickbot que o bot tentou baixar uma DLL para o sistema. De acordo com o processamento interno, essas DLLs foram identificadas como Emotet. No entanto, como o botnet foi retirado do ar no início deste ano, suspeitamos as descobertas e conduziu uma verificação manual inicial “, escreveu Luca Ebach, pesquisador de segurança da G Data, uma empresa alemã de segurança cibernética,  em uma postagem de blog . 

“Atualmente, temos grande confiança de que as amostras realmente parecem ser uma reencarnação do infame Emotet“, acrescentou. 

Pesquisadores de segurança cibernética da  AdvIntel,  Crypolaemus  e outros também confirmaram que isso se parece com o retorno do Emotet, que parece estar usando uma técnica de criptografia diferente da que foi vista anteriormente. 

Atualmente, o Emotet não está tentando se redistribuir, em vez disso, depende do TrickBot para espalhar novas infecções – mas isso indica que aqueles por trás do Emotet estão tentando colocar o botnet em funcionamento novamente. 

“A relação entre esta nova variante e o antigo Emotet mostra sobreposição de código e sobreposição de técnica“, disse James Shank, arquiteto-chefe de serviços comunitários e evangelista sênior de segurança da Team Cymru, uma empresa de segurança cibernética que estava entre as que ajudaram a desmantelar a Emotet em janeiro.

“Levará algum tempo para ver como o Emotet é reconstruído e se ele pode se tornar o ‘malware mais perigoso do mundo’ novamente. Você pode ter certeza de que aqueles que ajudaram a derrubá-lo pela primeira vez estão vigiando. Ele não vê como uma surpresa o ressurgimento do Emotet, “na verdade, podemos nos perguntar por que demorou tanto”, acrescentou. 

Os pesquisadores de segurança cibernética  forneceram uma lista de servidores de comando e controle que  os administradores de rede podem bloquear para ajudar a prevenir infecções por Emotet. 

Para proteger os sistemas de serem vítimas de  Emotet, Trickbot e outros carregadores de malware , é recomendado que  os patches de segurança sejam aplicados quando forem lançados  para evitar que os criminosos cibernéticos explorem  vulnerabilidades conhecidas  e que os usuários fiquem cientes dos perigos dos emails de phishing. 

Fonte ZDNet