Mercadão de serviços para cibercriminosos: conheça o Emotet
Cidadãos e empresas mexicanas e brasileiras estão entre os alvos mais atacados pelo grupo
O Emotet se tornou um verdadeiro “mercadão” em que o grupo que controla uma botnet, rede de computadores infectados que permite acesso remoto de informações e controle remoto do dispositivo comprometido, vende serviços maliciosos para outros cibercriminosos.
Essa é a principal conclusão da análise realizada pela Equipe de Pesquisa e Análise da Kaspersky na América Latina. Os alvos desse grupo são internautas, empresas e governos, que têm seus cartões de crédito e contas de e-mail roubadas (especialmente as salvas nos navegadores) para serem vendidos posteriormente, com os golpistas ainda oferecendo acesso aos computadores e servidores comprometidos para grupos de ransomware executarem seus ataques.
As ações criminosas começaram em 2014
Esse grupo foi detectado pela primeira vez em 2014 realizando fraudes financeiras por meio de trojans bancários ao redor do mundo. Desde então, eles mudaram sua atuação criminosa e se converteram na maior e mais potente botnet em atuação.
Diversas tentativas de remoção dela foram feitas, a última (no início de 2021) foi liderada pela Europol e contou com o apoio de diversos órgãos policiais do mundo. Apesar de um sucesso parcial, o grupo reconstruiu a infraestrutura da rede de robôs e ressurgiu com mais força.
A telemetria da Kaspersky mostra que o número global de vítimas disparou de 2.843 em fevereiro para 9.086 em março de 2022 ― um valor três vezes maior. Em relação aos números de bloqueios, o crescimento foi proporcional e a empresa registrou 16.897 tentativas de infecção em fevereiro e 48.597 em março.
Considerando só os países da América Latina, o México está na segunda posição e o Brasil em quarto no ranking global, sendo observado crescimento de 14 mil bloqueios para 357 mil entre fev/mar e 4 mil para 52 mil no mesmo período, respectivamente. Demais países afetados são Colômbia (35º), Chile (40º), Paraguai (48º), Equador (50º), Uruguai (54), Argentina (62º), Peru (66º) e Cuba (75º).
Como ocorre a infecção via Emotet
A infecção do Emotet ocorre por meio de campanhas de e-mails (spam) com arquivos do Microsoft Office maliciosos (macro) que será responsável por criar um backdoor na máquina e executar diversas tarefas maliciosas.
As principais tarefas maliciosas fazem o seguinte:
- • Perfil das máquinas infectadas
Uma das primeiras ações do Emotet é roubar dados básicos do equipamento infectado para criar um perfil. Com esses dados, o grupo saberá se a máquina é de um usuário comum ou de uma empresa/governo específico ― isso determinará o uso/valor comercial de cada vítima.
- • Roubo de cartões de crédito salvos no navegador
Este módulo afeta apenas o navegador Chrome e visa efetuar a venda das informações para grupos de fraudes financeiras.
- • Roubo de credenciais salvas nos navegadores
Essa ação também usa a ferramenta da Nirsoft para capturar os logins e senhas salvos no navegador. Mesmo esses dados sendo criptografados no navegador, os criminosos conseguem burlá-la e obter acesso às informações confidenciais. A consequência vai depender do tipo de conta. Credenciais bancárias serão usadas para fraudes financeiras, logins de plataformas de streamings serão vendidas nos mercados ilegais, credenciais de lojas online serão usadas em fraudes comerciais etc.
- • Roubo de cartões de crédito salvos no navegador
Este módulo afeta apenas o navegador Chrome e visa efetuar a venda das informações para grupos de fraudes financeiras.
- • Acesso à máquina via backdoor
Este se tornou o serviço mais rentável do grupo e é onde a criação do perfil das máquinas infectadas se torna mais importante, pois esses acessos são comercializados com grupos que estão efetuando ataques de ransomware. Ao comprar um acesso de um funcionário com direitos de administrador aos servidores, os grupos de ransomware só precisam copiar os dados e executar o bloqueio das máquinas, pois 80% do trabalho foi feito pelo Emotet.
Cuidados que precisam ser tomados
“Há também um módulo de disseminação pela rede muito eficaz, o que faz com que a infecção pule de uma máquina para outra que esteja na mesma rede. Essa característica e a longevidade com que o malware permanece nas máquinas faz do Emotet uma das maiores botnet em atuação no mundo. Outra conclusão importante da nossa análise e que é importantíssimo destacar é que uma infecção pelo Emotet é um grande alerta para um potencial ataque de ransomware”, destaca Fabio Marenghi, analista sênior de segurança da Kaspersky no Brasil.
Para evitar a infecção pelo Emotet, os especialistas da Kaspersky recomendam:
- • Cuidado ao abrir arquivos Office (Excel e Word) que foram enviados por e-mail.
- • Cheque o remetente e o nome do anexo. Muitos malware se escondem por atrás de boletos ou promoções, mas o remetente nunca condiz com a isca do spam/phishing. Neste caso, jamais abra o arquivo.
- • Para empresas, muitos anexos se disfarçam de pedido de orçamento ou currículo. A mesma dica de revisar as informações é válida, mas em alguns casos, o funcionário terá a “obrigação” de abrir a isca. Neste caso, garanta que a solução de segurança consiga bloquear programas maliciosas que usam o PowerShell e outras ferramentas legítimas.
- • Mantenha todos os programas e sistemas operacionais atualizados para evitar que o Emotet explore vulnerabilidades neles para se infiltrar no equipamento.
- • Não salve senhas nos navegadores, pois os criminosos conseguem acessar essa informação. Para agilizar o acesso a serviços e páginas online, use um gerenciador de senhas como o Kaspersky Password Manager, pois essas ferramentas usam criptografia moderna que não pode ser burlada.
(*) HOMEWORK inspira transformação no mundo do trabalho, nos negócios, na sociedade. É criação da COMPASSO, agência de conteúdo e conexão. Conheça nossas soluções e entre em contato.