Os agentes de ameaças por trás do malware Emotet usaram o temor acerca do coronavírus (2019-nCoV) como um gancho para sua campanha de spam por e-mail contra alvos no Japão.
O 2019-nCoV, que se acredita ter origem em Wuhan, China, em dezembro de 2019, causou centenas de mortes e milhares de casos confirmados apenas na China. O vírus já se espalhou para países vizinhos e casos confirmados foram relatados em outros lugares, tais como Alemanha, Canadá e EUA, fazendo com que a Organização Mundial da Saúde declarasse estado de emergência em nível de saúde global.
A IBM X-Force relatou que os e-mails de spam de coronavírus foram disfarçados como notificações oficiais enviadas por um provedor de assistência médica gratuita para pessoas com deficiência e por centros de saúde públicos. O conteúdo do e-mail alerta os destinatários sobre a rápida disseminação do vírus e os instrui a fazerem o download de um aviso em anexo que supostamente contém medidas preventivas.
Como em várias campanhas anteriores, os e-mails de spam do coronavírus tinham anexos de documentos do Word. O texto no documento continha instruções para clicar no botão Ativar Conteúdo para poder visualizar o documento. Clicar no botão instala o payload do Emotet usando um comando do PowerShell.
Os e-mails de spam incluem um rodapé com detalhes legítimos, como endereço para correspondência e números de contato, na tentativa de se passarem por mensagens oficiais.
A campanha segue os mesmos passos das anteriores relacionadas a esse malware, que se aproveitavam de personalidades e ocasiões conhecidas, tais como o Natal, para espalhar os e-mails.
Os dispositivos infectados com o Emotet podem implantar ransomware. O malware também pode eliminar outros tipos de malware que roubam credenciais do usuário, histórico do navegador e documentos confidenciais. Os dados coletados podem ser usados para enviar spam para outras contas de e-mail.
O Emotet foi descoberto pela Trend Micro como TrojanSpy.Win32.EMOTET.THIBEAI em 2014. Naquela época, era conhecido como uma variante de malware bancário que roubava dados detectando a atividade da rede. Ao longo dos anos, o malware evoluiu de várias maneiras; versões do Emotet foram encontradas atuando como um loader para outras famílias de malware e adicionando uma nova técnica de evasão.
Defesa contra Emotet
O malware Emotet persiste enquanto ameaça, uma vez que os cibercriminosos continuam aumentando não apenas o nível de dano que ele causa, como também a sofisticação das técnicas de engenharia social usadas para propagá-lo por e-mail. Abaixo estão as recomendações para proteger os sistemas da empresa contra o Emotet:
- Inspecione cuidadosamente os e-mails, especialmente aqueles que incluem links ou anexos. Se eles parecem vir de uma instituição respeitável, verifique as informações de contato analisando os detalhes listados em seu site oficial.
- Forneça treinamento de conscientização de segurança aos funcionários para ensiná-los a evitarem ameaças por e-mail.
- Implante os patches e atualizações mais recentes para sistemas operacionais e aplicativos.
- Verifique se os filtros antispam estão configurados corretamente.
- Adote o princípio do menor privilégio, hierarquizando os acessos a todas as áreas críticas do sistema.
As empresas podem impedir malwares como o Emotet adotando uma abordagem de segurança em camadas para proteger todas as frentes (gateways, endpoints, redes e servidores).