Threats

Emotet está mais sofisticado

Segundo os investigadores, o malware está mais sofisticado e o seu nível de complexidade torna-o de difícil deteção

12/10/2022

Emotet está mais sofisticado

O grupo cibercriminoso por detrás do Emotet – denominado como Mummy Spider, MealyBug ou TA542 –, ressuscitou a sua oferta de Malware-as-a-Service com detalhes mais sofisticados para evitar o radar das autoridades.

De acordo com uma análise da Threat Analysis Unit da VMware – com base em dados recolhidos de várias novas campanhas do Emotet no início de 2022 – agora, os cibercriminosos possuem cadeias de execução mais complexas e subtis, conseguem ocultar as suas configurações e reforçar a sua infraestrutura de comando e controlo. Mais, o grupo atualizou recentemente dois dos oito módulos da sua oferta de forma a melhorar a funcionalidade de roubo de cartões de crédito e as suas capacidades de propagação lateral através da rede.

De forma geral, a investigação sugere que o Emotet está continuamente a mudar para dificultar o bloqueio do malware. “O Emotet [tem] abraçado o seu papel como distribuidor de malware, focando-se mais no avanço da sua técnica para a infeção inicial e contando com ondas de e-mails de spam que aliciam os utilizadores a abrir documentos e clicar em links”, afirmam os investigadores.

Entre as atualizações da oferta está um módulo que visa os utilizadores do Chrome da Google para roubar informações de cartões de crédito, e um segundo módulo que espalha a infeção para outros computadores recorrendo ao protocolo Server Message Block (SMB), uma técnica comum entre os cibercriminosos.

Adicionalmente, também utilizam contramedidas de anti-análise sofisticadas para tentar ocultar os detalhes da sua infraestrutura C2, refere o relatório da VMware. A versão pós-recuperação do Emotet tem dois grandes conjuntos de infraestruturas, a que a VMware chama Epoch 4 e Epoch 5, que têm apenas um endereço IP comum. 

Além disso, o malware poderá ser executado usando qualquer uma das 139 cadeias de programas diferentes, embora 80% das amostras analisadas pertençam a uma de quatro cadeias diferentes. A cadeia mais popular envolveu “um simples ataque em três fases envolvendo a execução do Excel e do regsvr32.exe”, refere o relatório.

A VMware descobriu que a infraestrutura leva a 328 endereços IP diferentes, 18% dos quais nos EUA, e a Alemanha e a França a ocuparem uma parcela significativa também. No entanto, os servidores que hospedam módulos, atualizações e outras cargas úteis vieram de um conjunto diferente de endereços IP, com a maior parcela (26%) hospedada na Índia.

 


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº17 Abril 2024

IT SECURITY Nº17 Abril 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.