Emotet – um trojan modular e de auto propagação

O Emotet é um trojan modular e de auto propagação espalhado maioritariamente através de e-mails (malspam).
Pode chegar via script malicioso, ficheiros de documentos macro-enabled ou link malicioso.
Os e-mails com Emotet pode conter promoções familiares concebidas de tal forma, que parecem um e-mail legítimo, onde o objetivo é tentar persuadir os utilizadores para clicarem nos ficheiros, usando uma linguagem apelativa como por exemplo “Detalhes de pagamento”.
Uma vez aberto o ficheiro, as vítimas são atraídas para ativar as macro do documento, o que faz com que o malware Emotet seja instalado no computador da vítima.

O Emotet utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a deteção e análise. É polimórfico, o que significa que pode alterar-se sempre que é descarregado, para evitar a deteção baseada em assinatura. Além disso, o Emotet sabe se está a operar no interior de uma máquina virtual (VM) e fica inativo se detetar um ambiente de sandbox.
Utiliza também servidores C&C para receber atualizações, funcionando da mesma forma que as atualizações do sistema operativo do seu PC e pode ocorrer sem problemas nem sinais exteriores. Isto permite aos atacantes instalar versões atualizadas do software e instalar malware adicional.

Este trojan teve um impacto de 11,94% durante o mês de junho de 2019 por terras lusas.

emotet
Como se espalha?

O método de distribuição principal do Emotet é através de malspam. Infiltra-se na lista de contactos e envia e-mails, por si mesmo, aos amigos, família, colegas de trabalho e clientes. Dado que estes e-mails provêm da conta de um e-mail conhecido, estes não parecem tanto spam existindo uma maior tendência para clicar em URL duvidosos e descarregar ficheiros infetados.

Se estiver presente uma rede ligada, o vírus espalha-se, usando uma lista de palavras-passe comuns, desbravando caminho para outros sistemas ligados, num ataque de força bruta. Se a palavra-passe para for simplesmente “palavra-passe”, então é provável que o Emotet descubra facilmente o caminho.
Estes ataques tiram proveito das vulnerabilidades do Windows, que podem permitir a instalação de malware sem interação humana.

 

Alvo

Todos somos alvos do Emotet. Até à data, já atingiu pessoas individuais, empresas e entidades governamentais nos Estados Unidos e na Europa, roubando logins bancários, dados financeiros e até carteiras de bitcoins.

 

Como me protejo?
  • Mantenha o computador/os seus terminais atualizado(s) com os mais recentes patches para Microsoft Windows.
  • Não descarregue anexos suspeitos nem clique num link de aspeto duvidoso.
  • Informe-se e instrua os seus utilizadores a criar uma palavra-passe forte e a usarem a autenticação de dois fatores.
  • Pode proteger-se a si e aos seus utilizadores do Emotet com um programa de cibersegurança robusto, que inclui uma proteção multicamadas. Os produtos empresariais detetam e bloqueiam o Emotet em tempo real.

 

COMO POSSO REMOVÊ-LO?

Caso suspeite de que já foi infetado pelo Emotet e se o seu computador estiver ligado a uma rede, isole-o imediatamente. Uma vez isolado o computador, avance para o patch e limpe o sistema infetado.
Dada a forma como o Emotet se espalha pela rede, um computador limpo pode ser reinfetado quando voltar a ser ligado a uma rede infetada, por esse motivo limpe cada computador da sua rede.