Informagno | Gestão em TI

Vamos conversar sobre o malware Emotet

É provável que tenha ouvido falar do Emotet nas notícias. O que é: um antigo rei egípcio, a banda emo preferida da sua irmã adolescente? Receamos que não.

O trojan bancário Emotet foi identificado, pela primeira vez, em 2014 por investigadores em matéria de segurança. O Emotet foi originalmente concebido como malware bancário, que tentava infiltrar-se no seu computador e roubar informação sensível e privada. Nas versões posteriores do software foram adicionados serviços de spamming e de disseminação de malware, incluindo outros trojans bancários.

O Emotet usa uma funcionalidade que ajuda o software a evitar a deteção por parte de alguns produtos anti-malware. O Emotet usa capacidades semelhantes aos worms para o ajudar a espalhar-se por outros computadores ligados. Isto ajuda na distribuição do malware. Esta funcionalidade levou o Departamento de Segurança Interna a concluir que o Emotet é um dos malwares mais dispendiosos e destrutivos, afetando setores governamentais e privados, pessoas individuais e organizações, e com um custo de limpeza superior a 1 milhão de dólares por incidente.

O que é o Emotet?

O Emotet é um trojan espalhado predominantemente através de e-mails fraudulentos (malspam). A infeção pode chegar via script malicioso, ficheiros de documentos macro-enabled ou link malicioso. Os e-mails com Emotet pode conter promoções familiares concebidas de tal modo, que pareçam um e-mail legítimo. O Emotet pode tentar persuadir os utilizadores para clicar nos ficheiros maliciosos, usando uma linguagem apelativa acerca de “A sua fatura”, “Detalhes de pagamento” ou, eventualmente, a chegada próxima de uma encomenda de empresas de transporte bem conhecidas.

O Emotet passou por algumas iterações. As primeiras versões surgiram como ficheiro JavaScript malicioso. As versões posteriores evoluíram para a utilização de documentos macro-enabled, para recuperar o payload do vírus de servidores de comando e controlo (C&C) operador pelos atacantes. 

“O Emotet é polimórfico, o que significa que pode alterar-se sempre que é descarregado, evitando a deteção baseada em assinatura.”

O Emotet usa diversos truques para tentar evitar a deteção e análise. O Emotet é polimórfico, o que significa que pode alterar-se sempre que é descarregado, para evitar a deteção baseada em assinatura. Além disso, o Emotet sabe se está a operar no interior de uma máquina virtual (VM) e fica inativo se detetar um ambiente de sandbox.

O Emotet utiliza também servidores C&C para receber atualizações. Isto funciona da mesma forma que as atualizações do sistema operativo do seu PC e pode ocorrer sem problemas nem sinais exteriores. Isto permite aos atacantes instalar versões atualizadas do software, instalar malware adicional, como, p. ex., outros trojans bancários, ou agir como depósito de informação roubada, incluindo credenciais financeiras, nomes de utilizadores, palavras-passe e endereços de e-mail.

Como se espalha o Emotet?

O método de distribuição principal do Emotet é através de malspam. O Emotet infiltra-se na sua lista de contactos e envia e-mails, por si mesmo, aos seus amigos, família, colegas de trabalho e clientes. Dado que estes e-mails provêm da sua conta de e-mail sequestrada, os e-mails não parecem tanto spam e os destinatários, sentindo-se seguros, têm maior tendência para clicar em URL duvidosos e descarregar ficheiros infetados.

Se estiver presente uma rede ligada, o Emotet espalha-se, usando uma lista de palavras-passe comuns, desbravando caminho para outros sistemas ligados, num ataque de força bruta. Se a palavra-passe para o importantíssimo serviços de recursos humanos for simplesmente “palavra-passe”, então é provável que o Emotet descubra facilmente o caminho.

Outro método utilizado pelo Emotet para se espalhar é através das vulnerabilidades EternalBlue/DoublePulsar, que foram responsáveis pelos ataques WannaCry e NotPetya. Estes ataques tiram proveito das vulnerabilidades do Windows, que podem permitir a instalação de malware sem interação humana.
Esta capacidade de autorreplicar-se, como sucede com um tipo de malware a que chamamos worm, provoca dores de cabeça infindáveis a administradores de rede de todo o mundo, uma vez que o Emotet se espalha de sistema para sistema.

Qual é a história do Emotet?

Identificado, pela primeira vez, em 2014, o Emotet continua a infetar sistemas e a afetar utilizadores até hoje, motivo pelo qual continuamos a falar sobre ele, ao contrário do que sucede com outras tendências de 2014 (alguém se lembra do Ice Bucket Challenge (desafio do balde de gelo)?).

A primeira versão do Emotet foi concebida para roubar detalhes de contas bancárias, interceptando tráfego de Internet. Pouco tempo depois, foi detetada uma nova versão do software. Esta versão, apelidada de Emotet versão dois, vinha acompanhada de diversos módulos, incluindo um sistema de transferência de dinheiro, módulo malspam e um módulo bancário, que visava bancos alemães e austríacos.

“As versões atuais do trojan Emotet incluem a possibilidade de instalar outro malware nas máquinas infetadas. Este malware pode incluir outros trojans bancários ou serviços de disseminação de malspam.”

Em janeiro de 2015, surgiu em cena uma nova versão do Emotet. A versão três continha modificações furtivas, concebidas para manter o malware fora dos radares, e acrescentava alvos bancários suíços.

Avancemos para 2018: As versões atuais do trojan Emotet incluem a possibilidade de instalar outro malware nas máquinas infetadas. Este malware pode incluir outros trojans bancários ou serviços de disseminação de malspam.

Quem é o alvo do Emotet?

Todos somos alvos do Emotet. Até à data, o Emotet já atingiu pessoas individuais, empresas e entidades governamentais nos Estados Unidos e na Europa, roubando logins bancários, dados financeiros e até carteiras de bitcoins.

De destacar um ataque do Emotet na cidade de Allentown, PA, que exigiu a ajuda direta da equipa de resposta a incidentes da Microsoft para efetuar a limpeza e, alegadamente, terá implicado um custo de reparação superior a 1 milhão de dólares para a cidade.

Agora que o Emotet está a ser usado para descarregar e disseminar outros trojans bancários, a lista de alvos poderá ser ainda mais vasta. As primeiras versões do Emotet eram usadas para atacar clientes bancários na Alemanha. As versões posteriores do Emotet visavam organizações no Canadá, Reino Unido e nos Estados Unidos.

“De destacar um ataque do Emotet na cidade de Allentown, PA, que exigiu a ajuda direta da equipa de resposta a incidentes da Microsoft para efetuar a limpeza e, alegadamente, terá implicado um custo de reparação superior a 1 milhão de dólares para a cidade.”

Como me posso proteger do Emotet?

Já está a dar o primeiro passo para se proteger a si e aos seus utilizadores do Emotet, ao aprender como funciona o Emotet. Eis alguns passos adicionais que poderá seguir:

  1. Mantenha o seu computador/os seus terminais atualizado(s) com os mais recentes patches para Microsoft Windows. O Emotet pode contar com a vulnerabilidade EternalBlue do Windows para fazer o seu trabalho sujo, portanto não deixe a porta dos fundos aberta para a sua rede.
  2. Não descarregue anexos suspeitos nem clique num link de aspeto duvidoso. O Emotet não consegue criar essa base inicial no seu sistema ou rede, se evitar esses e-mails suspeitos. Reserve algum tempo para instruir os seus utilizadores sobre como identificar malspam.
  3. Informe-se e instrua os seus utilizadores a criar uma palavra-passe forte. Quando o estiver a fazer, comece a usar a autenticação de dois fatores.
  4. Pode proteger-se a si e aos seus utilizadores do Emotet com um programa de cibersegurança robusto, que inclui uma proteção multicamadas. Os produtos empresariais e para consumidores premium detetam e bloqueiam o Emotet em tempo real.  

Como posso remover o Emotet?

Caso suspeite de que já foi infetado pelo Emotet, não entre em pânico. Se o seu computador estiver ligado a uma rede, isole-o imediatamente. Uma vez isolado o computador, avance para o patch e limpe o sistema infetado. Mas ainda não acabou. Dada a forma como o Emotet se espalha pela sua rede, um computador limpo pode ser reinfetado quando voltar a ser ligado a uma rede infetada. Limpe cada computador da sua rede, um por um. É um processo entediante, mas as soluções empresariais  podem torná-lo mais fácil, isolando e remediando terminais infetados e oferecendo uma proteção proativa contra futuras infeções causadas pelo Emotet.