Uma semana depois de criarem um novo esquema para deitarem a mão aos dados dos utilizadores, seguida de um período de baixa atividade, os responsáveis pelo Emotet lançaram uma nova campanha de spam em larga escala.
O que é o Emotet?
O Emotet é uma família de troianos bancários, conhecida pela sua arquitetura modular, técnicas de persistência e autopropagação à semelhança de um worm. Ele é distribuído através de campanhas de spam, que utilizam formas aparentemente legítimas de distribuirem os seus anexos maliciosos. Este troiano é frequentemente utilizado como um downloader ou dropper para cargas secundárias potencialmente mais prejudiciais. Devido ao seu alto potencial destrutivo, a Emotet foi objeto de um aviso de segurança da US-CERT em julho de 2018.
A nova campanha
De acordo com os nossos sistemas de telemetria, a mais recente atividade Emotet surgiu no dia 5 de novembro de 2018, após um período de baixa atividade. A Figura 1 revela um aumento na taxa de deteção de Emotet no início de novembro de 2018, conforme pode ser observado nos nossos dados.
Figura 1 – Visão geral das deteções Emet pelos produtos ESET nas últimas duas semanas
Dividindo essas deteções por país, como visto na Figura 2, esta última campanha Emotet parece estar mais ativa nas Américas, no Reino Unido, na Turquia e na África do Sul.
Figura 2 – Distribuição das deteções ESET do Emotet em novembro de 2018 (incluindo as deteções de ficheiros e de rede)
Na campanha de novembro de 2018, o Emotet utilizou anexos maliciosos do Word e PDF, como faturas, notificações de pagamento, alertas de contas bancárias, etc., aparentemente provenientes de organizações legítimas. Como alternativa, os emails contêm links maliciosos em vez de anexos. Os assuntos de email utilizadosna campanha sugerem uma segmentação por utilizadores que falam inglês e alemão. A Figura 3 mostra a atividade Emotet em novembro de 2018 da perspectiva das deteções de documentos. As figuras 4, 5 e 6 são exemplos de emails e anexos desta campanha.
Figura 3 – Distribuição das deteções ESET de documentos relacionados com o Emotet em novembro de 2018
Figura 4 – Exemplo de um email de spam usado na última campanha Emotet
Figura 5 – Exemplo de um documento mal-intencionado do Word usado na última campanha Emotet
Figura 6 – Exemplo de um PDF malicioso usado na última campanha Emotet
O cenário de comprometimento nesta campanha de novembro de 2018 começa com a vítima a abrir um ficheiro malicioso do Word ou um PDF anexado a um e-mail de spam aparentemente proveniente de uma organização legítima e conhecida.
Seguindo as instruções do documento, a vítima ativa macros no Word ou clica no link no PDF. A carga útil do Emotet é subsequentemente instalada e lançada, estabelece a persistência no computador e reporta o comprometimento bem-sucedido ao seu servidor C&C. Por sua vez, recebe instruções acerca dos módulos de ataque e cargas secundárias a descarregar.
Os módulos ampliam a funcionalidade da carga inicial com um ou mais tipos de furto de credenciais, propagação de rede, recolha de informações confidenciais, encaminhamento de portas e outras funcionalidades. Quanto às cargas secundárias, essa campanha fez com que o Emotet descarregasse o TrickBot e o IcedId para as máquinas comprometidas.
Conclusão
Este aumento recente na atividade do Emotet revela que esta ameaça continua ativa – e cada vez mais preocupante devido às atualizações recentes do módulo. Os sistemas ESET detetam e bloqueiam todos os componentes Emotet com os nomes de deteção listados na seção IoCs.
Indicadores de Compromisso (IoCs)
Exemplo de hashes
Observe que as novas compilações de binários Emotet são lançadas aproximadamente a cada duas horas, portanto, as hashes podem não ser as mais recentes disponíveis.
Emotet
SHA-1 | ESET detection name |
---|---|
51AAA2F3D967E80F4C0D8A86D39BF16FED626AEF | Win32/Kryptik.GMLY trojan |
EA51627AF1F08D231D7939DC4BA0963ED4C6025F | Win32/Kryptik.GMLY trojan |
3438C75C989E83F23AFE6B19EF7BEF0F46A007CF | Win32/Kryptik.GJXG trojan |
00D5682C1A67DA31929E80F57CA26660FDEEF0AF | Win32/Kryptik.GMLC trojan |
Modules
SHA-1 | ESET detection name |
---|---|
0E853B468E6CE173839C76796F140FB42555F46B | Win32/Kryptik.GMFS trojan |
191DD70BBFF84D600142BA32C511D5B76BF7E351 | Win32/Emotet.AW trojan |
BACF1A0AD9EA9843105052A87BFA03E0548D2CDD | Win32/Kryptik.GMFS trojan |
A560E7FF75DC25C853BB6BB286D8353FE575E8ED | Win32/Kryptik.GMFS trojan |
12150DEE07E7401E0707ABC13DB0E74914699AB4 | Win32/Kryptik.GMFS trojan |
E711010E087885001B6755FF5E4DF1E4B9B46508 | Win32/Agent.TFO trojan |
Secondary payloads
TrickBot
SHA-1 | ESET detection name |
---|---|
B84BDB8F039B0AD9AE07E1632F72A6A5E86F37A1 | Win32/Kryptik.GMKM trojan |
9E111A643BACA9E2D654EEF9868D1F5A3F9AF767 | Win32/Kryptik.GMKM trojan |
IcedId
SHA-1 | ESET detection name |
---|---|
0618F522A7F4FE9E7FADCD4FBBECF36E045E22E3 | Win32/Kryptik.GMLM trojan |
C&C servers (active as of November 9, 2018)
187.163.174[.]149:8080 |
70.60.50[.]60:8080 |
207.255.59[.]231:443 |
50.21.147[.]8:8090 |
118.69.186[.]155:8080 |
216.176.21[.]143:80 |
5.32.65[.]50:8080 |
96.246.206[.]16:80 |
187.163.49[.]123:8090 |
187.207.72[.]201:443 |
210.2.86[.]72:8080 |
37.120.175[.]15:80 |
77.44.98[.]67:8080 |
49.212.135[.]76:443 |
216.251.1[.]1:80 |
189.130.50[.]85:80 |
159.65.76[.]245:443 |
192.155.90[.]90:7080 |
210.2.86[.]94:8080 |
198.199.185[.]25:443 |
23.254.203[.]51:8080 |
67.237.41[.]34:8443 |
148.69.94[.]166:50000 |
107.10.139[.]119:443 |
186.15.60[.]167:443 |
133.242.208[.]183:8080 |
181.229.155[.]11:80 |
69.198.17[.]20:8080 |
5.9.128[.]163:8080 |
104.5.49[.]54:8443 |
139.59.242[.]76:8080 |
181.27.126[.]228:990 |
165.227.213[.]173:8080 |
[…] Quase um mês depois das fraudes e ameaças relacionadas a CiberMonday e BlackFriday, uma nova campanha está a utilizar o nome da Amazon para propagar uma nova variante do Emotet. […]