Com uma grande demanda de uso dos meios digitais neste ano de pandemia do novo coronavírus, os vários problemas de cibersegurança ficaram ainda mais evidenciados ao longo dos últimos meses.

Isso fez com que aparecessem novamente algumas ameaças conhecidas há alguns anos, mas que não eram mais usadas com frequência pelos cibercriminosos. Uma delas é o Emotet, conforme um alerta da ESET nesta semana. E o Brasil é um dos países que mais têm sofrido na América Latina. Entenda mais a seguir:

O Emotet foi descoberto em 2014 como um trojan bancário e se expandiu ao longo do tempo, de forma a se tornar um malware modular, utilizado para baixar outros códigos maliciosos no computador da vítima.

Essas transformações da ameaça se traduzem em dados da ESET entre novembro e dezembro de 2019, os quais mostram que havia mais de 27 mil variantes detectadas mensalmente no período. E isso antes da grande quantidade de uso de internet, demandada nos períodos de isolamento social pelo mundo.

Histórico

O TudoCelular chegou a abordar diferentes situações no passado, nos quais o Emotet se apresentou com perigo aos usuários. Uma delas aconteceu em novembro de 2018, quando voltou a aparecer com força em anexos maliciosos de e-mails.

Na ocasião, ele atuava com a sua função original: como trojan bancário, para roubar senhas, detalhes de cartões de crédito e até mesmo criptomoedas.

Já em março deste ano, foi uma das armadilhas usadas em aplicativos falsos sobre o coronavírus para enganar os usuários e roubar os dados agora presente no Brasil na língua portuguesa.

Em uma publicação no blog WeLiveSecurity, a ESET destacou um crescimento considerável na detecção do Emotet na América Latina, a partir do segundo semestre de 2020. Desde julho, houve um aumento constante na atividade, por meio da distribuição de ameaças como o TrickBot e o Qbot.

Dentro dos últimos sete meses, a empresa especializada em segurança digital encontrou uma série de sites atacados pelo Emotet na região. O Brasil está entre os mais prejudicados, junto com Argentina, México, Colômbia, Chile e Equador. Houve um feclínio de abril até agosto, mas a situação nos últimos meses se mostrou mais grave.

Brasil entre maiores detecções

Quando analisadas as identificações do trojan apenas nos últimos três meses – agosto, setembro e outubro –, é possível checar como o malware está cada vez mais presente entre as nações latino-americanas.

Em especial no mês de outubro, o Brasil apresentou seu maior índice e apenas fica atrás da Argentina.

Assim como nos casos mencionados de 2018, o Emotet também tem sua distribuição atualmente por meio de anexos em e-mails de phishing. Geralmente, pode conter em um documento do Word (.doc), um PDF ou um arquivo compactado (.zip).

Ao abrir um desses arquivos infectados, comandos powershell são executados de forma oculta nas macros, o que gerar o download do malware para ser executado na sequência. Eles passam a criar uma pasta com um arquivo no caminho mostrado a seguir:

• C:\Users\\AppData\Local\\

Ações na prática

Já foi mencionado mais acima que o Emotet acaba por usar as famílias de trojan TrickBot e Qbot para fazer as vítimas. Mas como elas agem na prática? O primeiro foca em roubar credenciais de contas bancárias e ganhou a capacidade de mais funções perigosas.

Entre elas, estão a obtenção de informações sobre dispositivos – como SOs, programas, nomes de usuário e de domínio –, roubo de credenciais nos navegadores e no cliente Outlook, uso da ferramenta mimikatz para conseguir credenciais do Windows, comprometimento de protocolos – como SMB e LDAP – para se propagar em rede corporativa e instalar outros tipos de malware.

Já o Qbot consiste em uma ameaça modular, que tem quatro principais ações: roubo de senhas, e-mails e outros tipos de informações; instalação de outros tipos de malware; permissão para se conectar com o dispositivo da vítima e realizar transações bancárias pelo endereço IP; e uso de cadeias de e-mails da vítima para espalhar mensagens maliciosas.

Não foi por um acaso que o Emotet voltou a ser utilizado. Até agosto, um kill switch chamado Emocrash era distribuído de forma privada e impedia a instalação do trojan nos computadores.

Mas, a partir de então, os cibercriminosos conseguiram encontrar uma brecha e realizaram mudanças no código-fonte, o que permitiu “driblar” a barreira – apesar de a camada de segurança não ter sua distribuição por toda a América Latina confirmada.

A ESET ainda deu uma série de dicas para se proteger contra o Emotet, entre elas as sugestões básicas de segurança, manter os dispositivos atualizados, não abrir anexos de e-mail suspeitos, fazer testes na rede e utilizar uma solução antivírus confiável.

Além disso, outras dicas específicas é desabilitar as macros em documentos do Office – por onde os trojans seriam instalados – e checar seus e-mails, domínios e máquinas em ferramentas específicas. Para os dois primeiros casos, há o site haveibeenemotet. Já para o PC, existe a ferramenta gratuita para Windows, chamada EmoCheck.

Você já foi vítima desse trojan Emotet em algum momento da vida? Chegou a observar algo suspeito que possa conter a ameaça nos últimos meses? Relate para a gente no espaço abaixo.