Pesquisadores de segurança de computador criaram um exploit e, posteriormente, um killswitch (apelidado de EmoCrash) para evitar que o malware Emotet se espalhe. Esta é uma das infecções de vírus mais comuns e perigosas, pois eles estão sendo disseminados por redes de botnet de hosts infectados. Os especialistas descobriram um problema de segurança que permitiu que isso acontecesse.
EmoCrash: Especialistas encontraram uma exploração e impediram o Emotet de infectar PCs
O malware Emotet é um dos vírus mais conhecidos e perigosos, principalmente distribuídos por redes de botnet de hosts infectados. As redes botnet estão sendo configuradas para espalhar automaticamente o vírus usando conteúdo de SPAM em mensagens de e-mail ou ataques diretos usando vulnerabilidades de segurança comuns. O malware Emotet é frequentemente descrito como um vírus tudo-em-um que pode ser programado pelos hackers para baixar outro malware, roubar arquivos ou recrutar os hosts contaminados para a rede botnet. É conhecido desde 2014 e desde então tem sido usado em inúmeros ataques contra alvos privados e redes de empresas e governos.
Há alguns meses, uma nova atualização adicionou um novo recurso que permitiu ao mecanismo malicioso infectar redes Wi-Fi em uma faixa de hosts já hackeados. Uma nova instalação de persistência também foi implementada, tornando mais difícil remover as infecções ativas.
Contudo, com esta atualização, os engenheiros de segurança que rastreiam as mudanças no código Emotet relataram que um killswitch foi criado para ele. Usa um Script PowerShell que manipulou as verificações de malware no sistema local e fez com que carregasse um arquivo executável vazio. Como resultado, o malware foi impedido de funcionar no sistema de destino.
Uma segunda falha de segurança permitiu que os hackers construíssem outro, tipo mais complexo de manipulação de vírus, conhecido como EmoCrash. É categorizado como um exploração de estouro de buffer que trava o motor Emotet durante sua instalação. Isso é feito para evitar que os usuários sejam infectados por completo.
Os especialistas em segurança coordenaram o código de exploração para que não fosse divulgado publicamente, a fim de esconder essa técnica dos hackers. Isso é feito para proteger o código do malware de ser corrigido contra o bug. Porém em abril 2020 os hackers atualizaram o código do vírus e removeram os códigos de valor do Registro que foram abusados pelo EmoCrash.
Dado o fato de que especialistas em segurança de computador estão tomando medidas a fim de desenvolver métodos de proteção contra malware abusando de falhas no código, mostra que outra técnica pode ser desenvolvida novamente em breve. Aconselhamos todos os usuários de computador a estarem atentos e sempre tomarem precauções de segurança para proteger seus sistemas contra infecções por malware.