Desde que o Trojan Emotet foi lançado contra computadores em todo o mundo, há alguns anos, os criminosos utilizaram em seus ataques. Ao longo dos anos, seu código mudou e as tentativas de remoção nem sempre são bem-sucedidas. Nosso artigo ilustra algumas das técnicas que as vítimas podem usar para remover certas cepas do Trojan bancário Emotet.
Últimos movimentos do Trojan bancário Emotet
Trojans bancários são uma das peças de malware mais amplamente. Seu principal objetivo é infectar os computadores visados e obter informações bancárias confidenciais que são então relatadas aos operadores de malware. Existem várias estratégias que os criminosos podem utilizar. A primeira é a instalação de módulos avançados de espionagem que dão aos atacantes a capacidade de monitorar as ações das vítimas em tempo real, bem como gravar o movimento do mouse e as teclas digitadas.
Outro tipo de ataque envolve a sobreposição de aplicativos e formulários falsos que aparecem como serviços online legítimos. Se os alvos inserirem seus dados pessoais, todas essas informações serão retransmitidas para os hackers, que imediatamente inserem os detalhes nos serviços e retiram todo o dinheiro acessível.
Recentemente, o Trojan bancário Emotet foi atualizado para incluir um novo componente perigoso que causou sérias preocupações entre a comunidade de segurança. O malware é agora capaz de extrair dados até mesmo conexões mais seguras. Os arquivos podem ser facilmente enviados usando os métodos de infecção mais populares e os últimos grandes ataques provaram que continua sendo uma das cargas mais populares. As vítimas incluem os usuários finais de países da Europa, O Oriente Médio, América do Norte e Ásia.
Mecanismos de ataque do Trojan bancário do Emotet
Uma das novas linhagens associadas ao Emotet é seu design modular. O malware geralmente é entregue por meio de mensagens de e-mail de spam que utilizam técnicas de engenharia social. Os hackers fingem ser empresas de navegação ou instituições financeiras e enviam links e arquivos de anexos que se apresentam como notificações ou faturas. Uma vez abertos pelas vítimas, ocorre a infecção.
O Trojan bancário Emotet entra em contato com servidores controlados por hackers e baixa o mecanismo principal de lá. O processo de infecção é realizado em duas fases distintas – um estágio preparatório condicional e a modificação real do malware. O código malicioso é injetado em muitos aplicativos legítimos e no sistema operacional.
Quando o Trojan bancário Emotet é entregue por meio de cargas úteis do Microsoft Office, os operadores criaram várias maneiras de empacotar o malware. Os formulários populares incluem documentos rich text, apresentações, arquivo, planilhas e bancos de dados. Uma vez que eles são abertos, os scripts começam automaticamente a baixar e executar o código baixado de servidores remotos. Em alguns casos, um prompt de notificação pode ser exibido solicitando que os usuários dêem permissão para que isso aconteça.
Algumas das versões mais recentes do Emotet são executadas automaticamente quando os navegadores da web são abertos. Todo o tráfego de rede é registrado e enviado ao operador hacker em tempo real e isso é verdade mesmo quando se trata de conexões de rede seguras.
Os pesquisadores de segurança observam que extensas modificações de configurações são feitas no registro do Windows e em outros componentes críticos do sistema operacional. Também pode ser usado para baixar outras ameaças para as máquinas comprometidas.
Trojan bancário Emotet agora agrega recursos avançados de ataque
Algumas das versões mais recentes do Trojan bancário Emotet foram identificadas para incluir um mecanismo modular. Os hackers podem especificar quais componentes adicionais enviar para as máquinas vítimas com base nos dados de reconhecimento adquiridos durante o estágio preliminar de infecção. Uma lista parcial inclui os seguintes módulos: Módulo de spam, Propagação de worms de rede, Visualizador de senha de email e visualizador de senha do navegador da web. As instâncias do Emotet Trojan têm a capacidade de interagir com os servidores hackers de maneira inteligente, seguindo padrões pré-gravados e recebendo novas instruções dos operadores.
O Trojan bancário Emotet também pode ser atualizado extensivamente com componentes adicionais. Dependendo dos coletivos de hackers, eles podem ser de diferentes tipos e abranger vários estágios da sequência de infecção. Por exemplo, os hackers podem inventar novas técnicas de intrusão, ferramentas de hacking ou recursos de proteção furtiva.
Amostras mais recentes foram encontradas para interagir diretamente com o Windows Mount Point Manager, que dá aos criminosos a capacidade de direcionar partições que não são do sistema.. Isso inclui qualquer disco rígido externo, dispositivos de armazenamento removíveis e compartilhamentos de rede. Essas técnicas dão aos hackers a capacidade de acessar uma quantidade maior de dados em processos de infecção posteriores.
Quando a atividade de rede é iniciada e os hackers utilizam agentes da web falsos, o Trojan bancário Emotet tem a capacidade de se mascarar como qualquer um dos aplicativos populares de navegação na web. A lista inclui: Mozilla Firefox, Google Chrome, Microsoft borda, Internet Explorer, Opera e Safari.
Os processos pós-infecção também podem incluir extração de dados do host comprometido. Isso inclui informações como as configurações regionais do usuário. Os valores coletados são usados pelos hackers junto com os dados do sistema para reconhecer e filtrar as máquinas comprometidas com base em sua localização geográfica e preferências do usuário. Isso é usado para apresentar várias mensagens em um idioma localizado se tal for configurado em estágios posteriores.
Medidas de segurança do Trojan Emotet
As versões mais recentes do Trojan bancário Emotet usam uma verificação de segurança de modelo que procura determinados nomes de usuário e nomes de host que sinalizam uma área restrita ativa, máquina virtual ou ambiente de depuração. Quando tais strings são detectadas, o Trojan bancário Emotet pode parar antes mesmo que o estágio preliminar de coleta de informações seja alcançado. Os exemplos incluem os seguintes nomes: “administrador”, “VirtualBox”, “VMWare”, “[EU IRIA]-PC” e etc.
Efetivamente, colocando sinais e arquivos atribuídos a sistemas de sandbox ou de depuração. Os usuários podem tentar criar os seguintes arquivos:
- C:\afoobar.bmp
- C:\afoobar.gif
- C:\afoobar.doc
- C:\e-mail.doc
- C:\email.htm
- C:\123\e-mail.doc
- C:\123\e-mail.docx
Parece que o Trojan bancário Emotet procura uma série de arquivos localizados em pastas associadas a ameaças como o “C:\uma” e “C:\123” e a partição C principal.
É altamente recomendável que os usuários empreguem uma solução de nível profissional para se protegerem de formas avançadas do Trojan bancário Emotet, que pode usar outras técnicas.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: