Empresas de cibersegurança apontaram que o Emotet, o malware conhecido por ser o mais perigoso do mundo, foi detectado em atividade novamente neste ano, pouco após sua derrubada.
O trojan bancário, detectado pela primeira vez em 2014, era famoso por dar dores de cabeça às empresas, já que se proliferava por emails falsos e, usando táticas de worm, usava os computadores infectados para se replicar e roubar informações de outros alvos.
O programa malicioso era conhecido por sua alta versatilidade: novas versões fizeram com que ele estabelecesse conexões com servidores C2, outros malwares e até mesmo atualizações automáticas. Sua derrubada ocorreu em janeiro de 2021, na Operação Ladybird, coordenada pela Europol. Em abril, o malware foi reprogramado para se destruir sozinho.
No entanto, os pesquisadores da G Data detectaram no último domingo (14/11), em suas redes de TrickBots —armadilhas para pegarem bots disseminadores de malware —, novos arquivos “.DLL” que se tratavam de uma nova versão do Emotet. Em paralelo, analistas de segurança da Proofpoint encontraram novas correntes de spam incluindo o programa malicioso.
“Estes não parecem ser testes. Eles são campanhas ativas”, afirma a vice-presidente da Proofpoint, Sherrod DeGrippo.
Malware retorna menor, mais discreto e calmo
Segundo os especialistas, a nova versão do Emotet aprendeu algumas coisas desde a última “atualização” do malware, que data de 2020.
Agora, por exemplo, os servidores de download do programa malicioso utilizam certificados de segurança “Https” — elogiados por serem mais seguros e mais confiáveis. Os programas também receberam outras formas de ofuscação de código, enviando apenas “um pouco por vez”, para não chamar atenção de sistemas de defesa.
Para DeGrippo, é possível que o Emotet esteja “reescalando suas atividades”, já que a campanha visa setores de serviços financeiros, seguradoras, transportes, tecnologia e indústrias. Até o momento, apenas alvos nos Estados Unidos e no Canadá foram detectados.
No entanto, as atividades demonstram estar em um número mais baixo e mais discreto, visto que os disparos de emails não chegam a números tão elevados quanto no passado, quando a rede de bots mandava cerca de 50 mil spams em um disparo. As suspeitas são de que os novos operadores, ainda não identificados, estejam procurando um servidor para hospedar seguramente a nova rede de ataques.
Imagem: Who is Danny/Shutterstock
Nossas Redes Sociais