O notório malware Emotet está a realizar uma espécie de retorno quase 10 meses depois de uma operação coordenada por instituições legais terem desmontado a sua infraestrutura de comando e controle no final de janeiro de 2021.
De acordo com um novo relatório do pesquisador de segurança Luca Ebach, o infame malware TrickBot está a ser usado como um ponto de entrada para distribuir o que parece ser uma nova versão do Emotet em sistemas anteriormente infectados pelo primeiro. A variante mais recente assume a forma de um arquivo DLL, com a primeira ocorrência da implantação tendo sido detectada a 14 de novembro.
A Europol apelidou o Emotet como o “malware mais perigoso do mundo” pela sua capacidade de atuar como um “abridor de portas” para que os agentes de ameaças obtenham acesso não autorizado, tornando-se um precursor de muitos roubos de dados críticos e ataques de ransomware. Curiosamente, a operação do carregador permitiu que outras famílias de malware, como Trickbot, QakBot e Ryuk entrassem na máquina.
O ressurgimento também é significativo, não menos porque segue esforços concertados por parte da aplicação da lei para desinstalar automaticamente o malware em massa dos computadores comprometidos em abril.
O Feodo Tracker do projeto de pesquisa de rastreamento de malware Abuse.ch relata nove servidores de comando e controle Emotet que estão atualmente online, o que implica que os operadores estão tentando reviver o botnet e colocá-lo em execução novamente.
Amostras do novo carregador Emotet podem ser acessadas aqui. Para evitar que os dispositivos sejam cooptados para o botnet Emotet recentemente ativo, os administradores de rede são fortemente recomendados a bloquear todos os endereços IP relevantes.
O aumento na atividade do Emotet também foi acompanhado por um aumento nas campanhas de malspam, com cadeias de infecção selecionadas derrubando o carregador diretamente usando documentos Word e Excel habilitados para macro anexados a tópicos de e-mail roubados sem depender do TrickBot.