Emotet lança nova campanha massiva de spam

Uma semana depois de criarem um novo esquema para deitarem a mão aos dados dos utilizadores, seguida de um período de baixa atividade, os responsáveis pelo Emotet lançaram uma nova campanha de spam em larga escala.

O que é o Emotet?

O Emotet é uma família de troianos bancários, conhecida pela sua arquitetura modular, técnicas de persistência e autopropagação à semelhança de um worm. Ele é distribuído através de campanhas de spam, que utilizam formas aparentemente legítimas de distribuirem os seus anexos maliciosos. Este troiano é frequentemente utilizado como um downloader ou dropper para cargas secundárias potencialmente mais prejudiciais. Devido ao seu alto potencial destrutivo, a Emotet foi objeto de um aviso de segurança da US-CERT em julho de 2018.

A nova campanha

De acordo com os nossos sistemas de telemetria, a mais recente atividade Emotet surgiu no dia 5 de novembro de 2018, após um período de baixa atividade. A Figura 1 revela um aumento na taxa de deteção de Emotet no início de novembro de 2018, conforme pode ser observado nos nossos dados.


Figura 1 – Visão geral das deteções Emet pelos produtos ESET nas últimas duas semanas

Dividindo essas deteções por país, como visto na Figura 2, esta última campanha Emotet parece estar mais ativa nas Américas, no Reino Unido, na Turquia e na África do Sul.


Figura 2 – Distribuição das deteções ESET do Emotet em novembro de 2018 (incluindo as deteções de ficheiros e de rede)

Na campanha de novembro de 2018, o Emotet utilizou anexos maliciosos do Word e PDF, como faturas, notificações de pagamento, alertas de contas bancárias, etc., aparentemente provenientes de organizações legítimas. Como alternativa, os emails contêm links maliciosos em vez de anexos. Os assuntos de email utilizados​na campanha sugerem uma segmentação por utilizadores que falam inglês e alemão. A Figura 3 mostra a atividade Emotet em novembro de 2018 da perspectiva das deteções de documentos. As figuras 4, 5 e 6 são exemplos de emails e anexos desta campanha.


Figura 3 – Distribuição das deteções ESET de documentos relacionados com o Emotet em novembro de 2018


Figura 4 – Exemplo de um email de spam usado na última campanha Emotet

Figura 5 – Exemplo de um documento mal-intencionado do Word usado na última campanha Emotet


Figura 6 – Exemplo de um PDF malicioso usado na última campanha Emotet

O cenário de comprometimento nesta campanha de novembro de 2018 começa com a vítima a abrir um ficheiro malicioso do Word ou um PDF anexado a um e-mail de spam aparentemente proveniente de uma organização legítima e conhecida.

Seguindo as instruções do documento, a vítima ativa macros no Word ou clica no link no PDF. A carga útil do Emotet é subsequentemente instalada e lançada, estabelece a persistência no computador e reporta o comprometimento bem-sucedido ao seu servidor C&C. Por sua vez, recebe instruções acerca dos módulos de ataque e cargas secundárias a descarregar.

Os módulos ampliam a funcionalidade da carga inicial com um ou mais tipos de furto de credenciais, propagação de rede, recolha de informações confidenciais, encaminhamento de portas e outras funcionalidades. Quanto às cargas secundárias, essa campanha fez com que o Emotet descarregasse o TrickBot e o IcedId para as máquinas comprometidas.

Conclusão

Este aumento recente na atividade do Emotet revela que esta ameaça continua ativa – e cada vez mais preocupante devido às atualizações recentes do módulo. Os sistemas ESET detetam e bloqueiam todos os componentes Emotet com os nomes de deteção listados na seção IoCs.

Indicadores de Compromisso (IoCs)

Exemplo de hashes

Observe que as novas compilações de binários Emotet são lançadas aproximadamente a cada duas horas, portanto, as hashes podem não ser as mais recentes disponíveis.

Emotet

SHA-1 ESET detection name
51AAA2F3D967E80F4C0D8A86D39BF16FED626AEF Win32/Kryptik.GMLY trojan
EA51627AF1F08D231D7939DC4BA0963ED4C6025F Win32/Kryptik.GMLY trojan
3438C75C989E83F23AFE6B19EF7BEF0F46A007CF Win32/Kryptik.GJXG trojan
00D5682C1A67DA31929E80F57CA26660FDEEF0AF Win32/Kryptik.GMLC trojan

 

Modules

SHA-1 ESET detection name
0E853B468E6CE173839C76796F140FB42555F46B Win32/Kryptik.GMFS trojan
191DD70BBFF84D600142BA32C511D5B76BF7E351 Win32/Emotet.AW trojan
BACF1A0AD9EA9843105052A87BFA03E0548D2CDD Win32/Kryptik.GMFS trojan
A560E7FF75DC25C853BB6BB286D8353FE575E8ED Win32/Kryptik.GMFS trojan
12150DEE07E7401E0707ABC13DB0E74914699AB4 Win32/Kryptik.GMFS trojan
E711010E087885001B6755FF5E4DF1E4B9B46508 Win32/Agent.TFO trojan

Secondary payloads

TrickBot

SHA-1 ESET detection name
B84BDB8F039B0AD9AE07E1632F72A6A5E86F37A1 Win32/Kryptik.GMKM trojan
9E111A643BACA9E2D654EEF9868D1F5A3F9AF767 Win32/Kryptik.GMKM trojan

IcedId

SHA-1 ESET detection name
0618F522A7F4FE9E7FADCD4FBBECF36E045E22E3 Win32/Kryptik.GMLM trojan

C&C servers (active as of November 9, 2018)

187.163.174[.]149:8080
70.60.50[.]60:8080
207.255.59[.]231:443
50.21.147[.]8:8090
118.69.186[.]155:8080
216.176.21[.]143:80
5.32.65[.]50:8080
96.246.206[.]16:80
187.163.49[.]123:8090
187.207.72[.]201:443
210.2.86[.]72:8080
37.120.175[.]15:80
77.44.98[.]67:8080
49.212.135[.]76:443
216.251.1[.]1:80
189.130.50[.]85:80
159.65.76[.]245:443
192.155.90[.]90:7080
210.2.86[.]94:8080
198.199.185[.]25:443
23.254.203[.]51:8080
67.237.41[.]34:8443
148.69.94[.]166:50000
107.10.139[.]119:443
186.15.60[.]167:443
133.242.208[.]183:8080
181.229.155[.]11:80
69.198.17[.]20:8080
5.9.128[.]163:8080
104.5.49[.]54:8443
139.59.242[.]76:8080
181.27.126[.]228:990
165.227.213[.]173:8080

Fonte

1 COMENTÁRIO

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

6 − one =