Em janeiro de 2021, uma operação liderada pela Europol e Interpol conseguiu derrubar a botnet Emotet, um dos malwares mais prevalentes nos últimos anos que esteve em operação desde 2014 e que causou prejuízos econômicos estimados em aproximadamente US$2.500 milhões. No total, cerca de 700 servidores de comando e controle (C&C) usados por atacantes para comprometer computadores e lançar novas campanhas maliciosas foram desconectados como parte da operação e foi possível observar uma queda acentuada nas atividades da botnet. No entanto, apesar dos esforços, no último dia 14 de novembro, foi detectada uma nova campanha de malspam que propaga o trojan Trickbot, que em seguida baixa uma DLL maliciosa correspondente ao Emotet em uma segunda instância.
O tweet a seguir postado por SANS mostra a cadeia de infecção da nova versão da botnet Emotet.
ISC diary: Emotet returns on Monday 2021-11-15, and @malware_traffic reviews recent activity https://t.co/8sTpgLAjX8 pic.twitter.com/Ed8CEqqwBy
— SANS ISC (@sans_isc) November 16, 2021
Essas novas campanhas de malspam contêm anexos que podem ser apresentados em três formatos diferentes:
- Arquivos do Microsoft Excel (.xlsm);
- Arquivos do Word (.docm);
- Arquivos compactados em formato ZIP protegidos por senha e que incluem um arquivo Word.
Embora tenha sido possível observar a propagação do Emotet através do Trickbot, alguns pesquisadores já confirmaram a circulação de novas campanhas através de e-mails que descarregam o Emotet de forma direta, o que pode ser um sinal de que a infraestrutura da ameaça tem sido desenvolvida.
I can confirm that we see live malspam with inc with xlsm directly dropping #Emotet without #TrickBot intermediary. Stolen email threads as usual, this thing is propagating fast. https://t.co/YTW2M94J4Z pic.twitter.com/KokQhQeBcw
— TheAnalyst (@ffforward) November 16, 2021
Assim como explicou o pesquisador Cryptolaemus, que há muito tempo acompanha a atividade do Emotet, a nova versão analisada apresenta algumas modificações em relação às anteriores. Uma delas é que a ameaça agora conta com sete comandos que ampliam as possibilidades de download de binários.
A organização Abuse.ch apresentou uma lista de servidores C&C para que sejam bloqueados, o que pode gerar uma melhor proteção contra o Emotec.
Vale lembrar que o Emotet já foi usado como uma infraestrutura de malware como serviço (MaaS, sigla em inglês) para propagar outras ameaças. Embora neste ressurgimento o Trickbot esteja distribuindo o Emotet, antes da interrupção de sua infraestrutura, o Emotet distribuiu o Trickbot, que por sua vez foi usado para baixar alguns ransomware, como Ryuk ou Conti.
Veja mais: Emotet: Brasil é um dos países mais afetados pela ameaça na América Latina
