Um breve resumo do que aconteceu com o Emotet desde seu retorno em novembro de 2021
Emotet é uma família de malware ativa desde 2014, operada por um grupo de cibercrime conhecido como Mealybug ou TA542. Embora tenha começado como um trojan bancário, mais tarde evoluiu para uma botnet que se tornou uma das ameaças mais prevalentes em todo o mundo. O Emotet se espalha por e-mails de spam; ele pode exfiltrar informações e distribuir malware de terceiros para computadores comprometidos. Os operadores do Emotet não são muito exigentes quanto aos seus alvos, instalando seu malware em sistemas pertencentes a indivíduos, empresas e organizações maiores.
Em janeiro de 2021, o Emotet foi alvo de uma takedown como resultado de um esforço internacional de colaboração de oito países coordenado pela Eurojust e Europol. No entanto, apesar desta operação, o Emotet voltou à vida em novembro de 2021.
- O Emotet lançou várias campanhas de spam desde que reapareceu após sua remoção.
- Desde então, Mealybug criou vários novos módulos e várias vezes atualizou e melhorou todos os módulos existentes.
- Posteriormente, os operadores do Emotet se esforçaram muito para evitar o monitoramento e o rastreamento da botnet desde que ela voltou.
- Atualmente, o Emotet está silencioso e inativo, provavelmente devido à falha em encontrar um novo vetor de ataque eficaz.
Figura 1. Linha do tempo de eventos interessantes do Emotet desde seu retorno
Campanhas de spam
Após o retorno seguido por várias campanhas de spam no final de 2021, o início de 2022 continuou com essas tendências e nós registramos várias campanhas de spam lançadas por operadores Emotet. Durante esse tempo, o Emotet estava se espalhando principalmente por meio de documentos maliciosos do Microsoft Word e do Microsoft Excel com macros VBA incorporadas.
Em julho de 2022, a Microsoft mudou o jogo para todas as famílias de malware como Emotet e Qbot – que usavam e-mails de phishing com documentos maliciosos como método de propagação – desativando macros VBA em documentos obtidos na Internet. Essa mudança foi anunciou pela Microsoft no início do ano e implantado originalmente no início de abril, mas a atualização foi revertida devido ao feedback do usuário. O lançamento final ocorreu no final de julho de 2022 e, como pode ser visto na Figura 2, a atualização resultou em uma queda significativa nos comprometimentos do Emotet; não observamos nenhuma atividade significativa durante o verão de 2022.
Figura 2. Tendência de detecção de emotet, média móvel de sete dias
Desativar o principal vetor de ataque do Emotet fez com que seus operadores procurassem novas maneiras de comprometer seus alvos. Mealybug começou a experimentar com arquivos LNK e XLL maliciosos, mas quando o ano de 2022 estava terminando, os operadores do Emotet lutavam para encontrar um novo vetor de ataque que fosse tão eficaz quanto as macros VBA. Em 2023, eles executaram três campanhas distintas de malspam, cada uma testando uma via de invasão e uma técnica de engenharia social ligeiramente diferentes. No entanto, a diminuição do tamanho dos ataques e as constantes mudanças na abordagem podem sugerir insatisfação com os resultados.
A primeira dessas três campanhas aconteceu por volta de 8 de marçoth, 2023, quando o botnet Emotet começou a distribuir documentos do Word, mascarados como faturas, com macros VBA maliciosas incorporadas. Isso era bastante estranho porque as macros VBA eram desativadas pela Microsoft por padrão, então as vítimas não podiam executar códigos maliciosos incorporados.
Em sua segunda campanha entre 13 de marçoth e 18 Marçoth, os invasores aparentemente reconheceram essas falhas e, além de usar a abordagem de cadeia de resposta, também mudaram de macros VBA para arquivos OneNote (ONE) com VBScripts incorporados. Se as vítimas abrissem o arquivo, elas eram recebidas pelo que parecia ser uma página protegida do OneNote, pedindo que clicassem em um botão Exibir para ver o conteúdo. Atrás desse elemento gráfico havia um VBScript oculto, configurado para baixar o Emotet DLL.
Apesar de um aviso do OneNote de que essa ação pode levar a conteúdo malicioso, as pessoas tendem a clicar em prompts semelhantes por hábito e, portanto, podem permitir que os invasores comprometam seus dispositivos.
A última campanha observada na telemetria ESET foi lançada em 20 de marçoth, aproveitando a próxima data de vencimento do imposto de renda nos Estados Unidos. Os e-mails maliciosos enviados pelo botnet fingiam vir do Internal Revenue Service (IRS) do escritório de impostos dos EUA e carregavam um arquivo anexado chamado W-9 form.zip. O arquivo ZIP incluído continha um documento do Word com uma macro VBA maliciosa incorporada que a vítima provavelmente teve que permitir. Além desta campanha, direcionada especificamente para os EUA, também observamos outra campanha usando VBScripts incorporados e abordagem OneNote que estava em andamento na mesma época.
Como pode ser visto na Figura 3, a maioria dos ataques detectados pela ESET foram direcionados ao Japão (43%), Itália (13%), embora esses números possam ser influenciados pela forte base de usuários da ESET nessas regiões. Depois de retirar esses dois primeiros países (para focar no resto do mundo), na Figura 4 pode ser visto que o resto do mundo também foi atingido, com a Espanha (5%) em terceiro lugar seguida pelo México (5%) %) e África do Sul (4%).
Figura 3. Detecções de Emotet Jan 2022 – Jun 2023
Figura 4. Detecções de Emotet Jan 2022 – Jun 2023 (JP e IT excluídos)
Proteção aprimorada e ofuscações
Após seu reaparecimento, o Emotet recebeu várias atualizações. A primeira característica notável é que o botnet trocou seu esquema criptográfico. Antes da queda, o Emotet usava RSA como seu esquema assimétrico primário e, após o reaparecimento, o botnet começou a usar criptografia de curva elíptica. Atualmente, todo módulo Downloader (também chamado de módulo principal) vem com duas chaves públicas incorporadas. Um é usado para o protocolo de troca de chaves Diffie Hellman da curva elíptica e o outro é usado para uma verificação de assinatura – algoritmo de assinatura digital.
Além de atualizar o malware Emotet para a arquitetura de 64 bits, o Mealybug também implementou vários novos ofuscamentos para proteger seus módulos. A primeira ofuscação notável é o nivelamento do fluxo de controle, que pode retardar significativamente a análise e localizar partes interessantes do código nos módulos do Emotet.
Mealybug também implementou e melhorou sua implementação de muitas técnicas de randomização, das quais as mais notáveis são a randomização da ordem dos membros da estrutura e a randomização de instruções que calculam constantes (as constantes são mascaradas).
Mais uma atualização que vale a pena mencionar aconteceu durante o último trimestre de 2022, quando os módulos começaram a usar filas de timer. Com eles, a função principal dos módulos e a parte de comunicação dos módulos foram definidas como uma função de retorno de chamada, que é invocada por vários threads e tudo isso é combinado com o nivelamento do fluxo de controle, onde o valor do estado que gerencia qual bloco de código é a ser invocado é compartilhado entre as threads. Essa ofuscação se soma a outro obstáculo na análise e dificulta ainda mais o acompanhamento do fluxo de execução.
Novos módulos
Para continuar sendo um malware lucrativo e predominante, o Mealybug implementou vários novos módulos, mostrados em amarelo na Figura 5. Alguns deles foram criados como um mecanismo de defesa para a botnet, outros para uma disseminação mais eficiente do malware e, por último, mas não menos importante, um módulo que rouba informações que podem ser usadas para roubar o dinheiro da vítima.
Figura 5. Módulos mais usados do Emotet. O vermelho existia antes da queda; amarelo apareceu após o retorno
Thunderbird Email Stealer e Thunderbird Contact Stealer
O Emotet se espalha por e-mails de spam e as pessoas geralmente confiam nesses e-mails, porque o Emotet usa com sucesso uma técnica de seqüestro de e-mail. Antes da remoção, o Emotet usava módulos que chamamos de Outlook Contact Stealer e Outlook Email Stealer, que eram capazes de roubar e-mails e informações de contato do Outlook. Mas como nem todo mundo usa o Outlook, após a remoção, o Emotet também se concentrou em um aplicativo de e-mail alternativo gratuito - o Thunderbird.
O Emotet pode implantar um módulo Thunderbird Email Stealer no computador comprometido, que (como o nome sugere) é capaz de roubar e-mails. O módulo pesquisa os arquivos Thunderbird contendo mensagens recebidas (no formato MBOX) e rouba dados de vários campos, incluindo remetente, destinatários, assunto, data e conteúdo da mensagem. Todas as informações roubadas são então enviadas para um servidor C&C para processamento adicional.
Juntamente com o Thunderbird Email Stealer, o Emotet também implanta um Thunderbird Contact Stealer, que é capaz de roubar informações de contato do Thunderbird. Este módulo também pesquisa nos arquivos do Thunderbird, desta vez procurando por mensagens recebidas e enviadas. A diferença é que este módulo apenas extrai informações do Desde:, Até:, CC: e Cc: campos e cria um gráfico interno de quem se comunicou com quem, onde os nós são pessoas e há uma vantagem entre duas pessoas se elas se comunicaram entre si. Na próxima etapa, o módulo ordena os contatos roubados – começando pelas pessoas mais interconectadas – e envia essas informações para um servidor C&C.
Todo este esforço é complementado por dois módulos adicionais (que já existiam antes do takedown) – o módulo MailPassView Stealer e o módulo Spammer. MailPassView Stealer abusa de uma ferramenta NirSoft legítima para recuperação de senha e rouba credenciais de aplicativos de e-mail. Quando e-mails roubados, credenciais e informações sobre quem está em contato com quem são processados, o Mealybug cria e-mails maliciosos que parecem uma resposta a conversas roubadas anteriormente e envia esses e-mails junto com as credenciais roubadas para um módulo Spammer que usa essas credenciais para enviar respostas maliciosas a conversas de e-mail anteriores via SMTP.
Ladrão de cartão de crédito do Google Chrome
Como o nome sugere, o Google Chrome Credit Card Stealer rouba informações sobre cartões de crédito armazenados no navegador Google Chrome. Para conseguir isso, o módulo usa uma biblioteca SQLite3 vinculada estaticamente para acessar o arquivo de banco de dados Web Data geralmente localizado em %LOCALAPPDATA%GoogleChromeUser DataPadrãoDados da Web. O módulo consulta a tabela cartões de crédito para nome_do_cartão, Mês de validade, vencimento_ano e card_number_encrypted, contendo informações sobre cartões de crédito salvos no perfil padrão do Google Chrome. Na última etapa, o valor card_number_encrypted é descriptografado usando a chave armazenada no %LOCALAPPDATA%GoogleChromeUser DataArquivo de estado local e todas as informações são enviadas para um servidor C&C.
Módulos Systeminfo e Hardwareinfo
Logo após o retorno do Emotet, em novembro de 2021 surgiu um novo módulo que chamamos de Systeminfo. Este módulo coleta informações sobre um sistema comprometido e as envia para o servidor C&C. As informações coletadas consistem em:
- Saída do SystemInfo comando
- Saída do ipconfig / all comando
- Saída do nltest /dclista: comando (removido em outubro de 2022)
- Lista de processos
- Tempo de atividade (obtido via Gettickcount) em segundos (removido em outubro de 2022)
In Outubro de 2022 Os operadores do Emotet lançaram outro novo módulo que chamamos de Hardwareinfo. Ainda que não roube exclusivamente informações sobre o hardware da máquina comprometida, ele serve como fonte complementar de informações ao módulo Systeminfo. Este módulo coleta os seguintes dados da máquina comprometida:
- nome do computador
- Nome de Utilizador
- Informações de versão do sistema operacional, incluindo números de versão principal e secundária
- ID da sessão
- Cadeia de marca da CPU
- Informações sobre tamanho e uso da RAM
Ambos os módulos têm um objetivo principal – verificar se a comunicação vem de uma vítima legitimamente comprometida ou não. O Emotet foi, especialmente após seu retorno, um tópico muito importante na indústria de segurança de computadores e entre os pesquisadores, então o Mealybug fez um grande esforço para se proteger do rastreamento e monitoramento de suas atividades. Graças às informações coletadas por esses dois módulos que não apenas coletam dados, mas também contêm truques anti-rastreamento e anti-análise, os recursos do Mealybug para diferenciar vítimas reais de atividades de pesquisadores de malware ou sandboxes foram significativamente aprimorados.
Qual é o próximo?
De acordo com a pesquisa e telemetria da ESET, ambas as épocas da botnet estão silenciosas desde o início de abril de 2023. Atualmente, não está claro se este é mais um período de férias para os autores, se eles lutam para encontrar um novo vetor de infecção eficaz ou se há alguém novo operando o botnet.
Embora não possamos confirmar os rumores de que um ou ambos os Epochs da botnet foram vendidos para alguém em janeiro de 2023, notamos uma atividade incomum em um dos Epochs. A atualização mais recente do módulo downloader continha uma nova funcionalidade, que registra os estados internos do módulo e rastreia sua execução em um arquivo C:JSmithLoader (Figura 6, Figura 7). Como esse arquivo precisa existir para realmente registrar algo, essa funcionalidade parece uma saída de depuração para alguém que não entende completamente o que o módulo faz e como ele funciona. Além disso, naquela época a botnet também estava espalhando amplamente os módulos Spammer, que são considerados mais preciosos para Mealybug porque historicamente eles usavam esses módulos apenas em máquinas que eram consideradas por eles como seguras.
Figura 6. Log do comportamento do módulo downloader
Figura 7. Log do comportamento do módulo downloader
Seja qual for a explicação de por que o botnet está quieto agora é verdade, o Emotet é conhecido por sua eficácia e seus operadores fizeram um esforço para reconstruir e manter o botnet e até mesmo adicionar algumas melhorias, então acompanhe nosso blog para ver o que o futuro trará nós.
A ESET Research oferece relatórios privados de inteligência APT e feeds de dados. Para qualquer esclarecimento sobre este serviço, visite o Inteligência de ameaças ESET Disputas de Comerciais.
IoCs
Arquivos
| SHA-1 | Nome do arquivo | Nome de detecção ESET | Descrição |
|---|---|---|---|
| D5FDE4A0DF9E416DE02AE51D07EFA8D7B99B11F2 | N/D | Win64/Emotet.AL | Módulo Emotet Systeminfo. |
| 1B6CFE35EF42EB9C6E19BCBD5A3829458C856DBC | N/D | Win64/Emotet.AL | Módulo Emotet Hardwareinfo. |
| D938849F4C9D7892CD1558C8EDA634DADFAD2F5A | N/D | Win64/Emotet.AO | Módulo Emotet Google Chrome Credit Card Stealer. |
| 1DF4561C73BD35E30B31EEE62554DD7157AA26F2 | N/D | Win64/Emotet.AL | Módulo Emotet Thunderbird Email Stealer. |
| 05EEB597B3A0F0C7A9E2E24867A797DF053AD860 | N/D | Win64/Emotet.AL | Módulo Emotet Thunderbird Contact Stealer. |
| 0CEB10940CE40D1C26FC117BC2D599C491657AEB | N/D | Win64/Emotet.AQ | Módulo Emotet Downloader, versão com ofuscação da fila do temporizador. |
| 8852B81566E8331ED43AB3C5648F8D13012C8A3B | N/D | Win64/Emotet.AL | Módulo Emotet Downloader, versão x64. |
| F2E79EC201160912AB48849A5B5558343000042E | N/D | Win64/Emotet.AQ | Módulo Emotet Downloader, versão com strings de depuração. |
| CECC5BBA6193D744837E689E68BC25C43EDA7235 | N/D | Win32/Emotet.DG | Módulo Emotet Downloader, versão x86. |
Network
| IP | Domínio | Provedor de hospedagem | Visto pela primeira vez | Adicionar ao carrinho |
|---|---|---|---|---|
| 1.234.2[.]232 | N/D | SK Banda Larga Co Ltd | N/D | N/D |
| 1.234.21[.]73 | N/D | SK Banda Larga Co Ltd | N/D | N/D |
| 5.9.116[.]246 | N/D | Hetzner Online Ltda | N/D | N/D |
| 5.135.159[.]50 | N/D | OVH SAS | N/D | N/D |
| 27.254.65[.]114 | N/D | CS LOXINFO Empresa Pública Limitada. | N/D | N/D |
| 37.44.244[.]177 | N/D | Hostinger Internacional Limitada | N/D | N/D |
| 37.59.209[.]141 | N/D | Função Abuso-C | N/D | N/D |
| 37.187.115[.]122 | N/D | OVH SAS | N/D | N/D |
| 45.71.195[.]104 | N/D | NET ALTERNATIVA PROVEDOR DE INTERNET LTDA – ME | N/D | N/D |
| 45.79.80[.]198 | N/D | Linode | N/D | N/D |
| 45.118.115[.]99 | N/D | Asep Bambang Gunawan | N/D | N/D |
| 45.176.232[.]124 | N/D | CABLE Y TELECOMUNICACIONES DE COLOMBIA SAS (CABLETELCO) | N/D | N/D |
| 45.235.8[.]30 | N/D | WIKINET TELECOMUNICAÇÕES | N/D | N/D |
| 46.55.222[.]11 | N/D | DCC | N/D | N/D |
| 51.91.76[.]89 | N/D | OVH SAS | N/D | N/D |
| 51.161.73[.]194 | N/D | OVH SAS | N/D | N/D |
| 51.254.140[.]238 | N/D | Função Abuso-C | N/D | N/D |
| 54.37.106[.]167 | N/D | OVH SAS | N/D | N/D |
| 54.37.228[.]122 | N/D | OVH SAS | N/D | N/D |
| 54.38.242[.]185 | N/D | OVH SAS | N/D | N/D |
| 59.148.253[.]194 | N/D | HOSTMASTER CTINETS | N/D | N/D |
| 61.7.231[.]226 | N/D | Rede IP CAT Telecom | N/D | N/D |
| 61.7.231[.]229 | N/D | Autoridade de Comunicação da Tailândia, CAT | N/D | N/D |
| 62.171.178[.]147 | N/D | Contabo GmbH | N/D | N/D |
| 66.42.57[.]149 | N/D | A Companhia Constante, LLC | N/D | N/D |
| 66.228.32[.]31 | N/D | Linode | N/D | N/D |
| 68.183.93[.]250 | N/D | DigitalOcean, LLC | N/D | N/D |
| 72.15.201[.]15 | N/D | Flexencial Colorado Corp. | N/D | N/D |
| 78.46.73[.]125 | N/D | Hetzner Online GmbH - Função de contato, ORG-HOA1-RIPE | N/D | N/D |
| 78.47.204[.]80 | N/D | Hetzner Online Ltda | N/D | N/D |
| 79.137.35[.]198 | N/D | OVH SAS | N/D | N/D |
| 82.165.152[.]127 | N/D | 1 e 1 IONOS SE | N/D | N/D |
| 82.223.21[.]224 | N/D | IONOS SE | N/D | N/D |
| 85.214.67[.]203 | N/D | Strato AG | N/D | N/D |
| 87.106.97[.]83 | N/D | IONOS SE | N/D | N/D |
| 91.121.146[.]47 | N/D | OVH SAS | N/D | N/D |
| 91.207.28[.]33 | N/D | Optima Telecom Ltda. | N/D | N/D |
| 93.104.209[.]107 | N/D | MNET | N/D | N/D |
| 94.23.45[.]86 | N/D | OVH SAS | N/D | N/D |
| 95.217.221[.]146 | N/D | Hetzner Online Ltda | N/D | N/D |
| 101.50.0[.]91 | N/D | PT. Beon Intermedia | N/D | N/D |
| 103.41.204[.]169 | N/D | Sistema PT Infinys Indonésia | N/D | N/D |
| 103.43.75[.]120 | N/D | Choopa LLC administrador | N/D | N/D |
| 103.63.109[.]9 | N/D | Nguyen Nhu Thanh | N/D | N/D |
| 103.70.28[.]102 | N/D | Nguyen Thi Oanh | N/D | N/D |
| 103.75.201[.]2 | N/D | IRT-CDNPLUSCOLTD-TH | N/D | N/D |
| 103.132.242[.]26 | N/D | Rede de Ishan | N/D | N/D |
| 104.131.62[.]48 | N/D | DigitalOcean, LLC | N/D | N/D |
| 104.168.155[.]143 | N/D | Hostwinds LLC. | N/D | N/D |
| 104.248.155[.]133 | N/D | DigitalOcean, LLC | N/D | N/D |
| 107.170.39[.]149 | N/D | DigitalOcean, LLC | N/D | N/D |
| 110.232.117[.]186 | N/D | RackCorp | N/D | N/D |
| 115.68.227[.]76 | N/D | SMILESERV | N/D | N/D |
| 116.124.128[.]206 | N/D | IRT-KRNIC-KR | N/D | N/D |
| 116.125.120[.]88 | N/D | IRT-KRNIC-KR | N/D | N/D |
| 118.98.72[.]86 | N/D | PT Telkom Indonésia APNIC Gerenciamento de Recursos | N/D | N/D |
| 119.59.103[.]152 | N/D | 453 Ladplacout Jorakhaebua | N/D | N/D |
| 119.193.124[.]41 | N/D | Gerenciador de IP | N/D | N/D |
| 128.199.24[.]148 | N/D | DigitalOcean, LLC | N/D | N/D |
| 128.199.93[.]156 | N/D | DigitalOcean, LLC | N/D | N/D |
| 128.199.192[.]135 | N/D | DigitalOcean, LLC | N/D | N/D |
| 129.232.188[.]93 | N/D | Xneelo (Pty) Ltd | N/D | N/D |
| 131.100.24[.]231 | N/D | EVEO SA | N/D | N/D |
| 134.122.66[.]193 | N/D | DigitalOcean, LLC | N/D | N/D |
| 139.59.56[.]73 | N/D | DigitalOcean, LLC | N/D | N/D |
| 139.59.126[.]41 | N/D | Administrador da Digital Ocean Inc | N/D | N/D |
| 139.196.72[.]155 | N/D | Publicidade Co. de Hangzhou Alibaba, Ltd. | N/D | N/D |
| 142.93.76[.]76 | N/D | DigitalOcean, LLC | N/D | N/D |
| 146.59.151[.]250 | N/D | OVH SAS | N/D | N/D |
| 146.59.226[.]45 | N/D | OVH SAS | N/D | N/D |
| 147.139.166[.]154 | N/D | Alibaba (EUA) Technology Co., Ltd. | N/D | N/D |
| 149.56.131[.]28 | N/D | OVH SAS | N/D | N/D |
| 150.95.66[.]124 | N/D | GMO Internet Inc administrador | N/D | N/D |
| 151.106.112[.]196 | N/D | Hostinger Internacional Limitada | N/D | N/D |
| 153.92.5[.]27 | N/D | Hostinger Internacional Limitada | N/D | N/D |
| 153.126.146[.]25 | N/D | IRT-JPNIC-JP | N/D | N/D |
| 159.65.3[.]147 | N/D | DigitalOcean, LLC | N/D | N/D |
| 159.65.88[.]10 | N/D | DigitalOcean, LLC | N/D | N/D |
| 159.65.140[.]115 | N/D | DigitalOcean, LLC | N/D | N/D |
| 159.69.237[.]188 | N/D | Hetzner Online GmbH - Função de contato, ORG-HOA1-RIPE | N/D | N/D |
| 159.89.202[.]34 | N/D | DigitalOcean, LLC | N/D | N/D |
| 160.16.142[.]56 | N/D | IRT-JPNIC-JP | N/D | N/D |
| 162.243.103[.]246 | N/D | DigitalOcean, LLC | N/D | N/D |
| 163.44.196[.]120 | N/D | GMO-Z com NetDesign Holdings Co., Ltd. | N/D | N/D |
| 164.68.99[.]3 | N/D | Contabo GmbH | N/D | N/D |
| 164.90.222[.]65 | N/D | DigitalOcean, LLC | N/D | N/D |
| 165.22.230[.]183 | N/D | DigitalOcean, LLC | N/D | N/D |
| 165.22.246[.]219 | N/D | DigitalOcean, LLC | N/D | N/D |
| 165.227.153[.]100 | N/D | DigitalOcean, LLC | N/D | N/D |
| 165.227.166[.]238 | N/D | DigitalOcean, LLC | N/D | N/D |
| 165.227.211[.]222 | N/D | DigitalOcean, LLC | N/D | N/D |
| 167.172.199[.]165 | N/D | DigitalOcean, LLC | N/D | N/D |
| 167.172.248[.]70 | N/D | DigitalOcean, LLC | N/D | N/D |
| 167.172.253[.]162 | N/D | DigitalOcean, LLC | N/D | N/D |
| 168.197.250[.]14 | N/D | Omar Anselmo Ripoll (TDC NET) | N/D | N/D |
| 169.57.156[.]166 | N/D | SoftLayer | N/D | N/D |
| 172.104.251[.]154 | N/D | Nuvem conectada da Akamai | N/D | N/D |
| 172.105.226[.]75 | N/D | Nuvem conectada da Akamai | N/D | N/D |
| 173.212.193[.]249 | N/D | Contabo GmbH | N/D | N/D |
| 182.162.143[.]56 | N/D | IRT-KRNIC-KR | N/D | N/D |
| 183.111.227[.]137 | N/D | Korea Telecom | N/D | N/D |
| 185.4.135[.]165 | N/D | ENARTIA Sócio Único SA | N/D | N/D |
| 185.148.168[.]15 | N/D | Função Abuso-C | N/D | N/D |
| 185.148.168[.]220 | N/D | Função Abuso-C | N/D | N/D |
| 185.168.130[.]138 | N/D | GigaCloud NOC | N/D | N/D |
| 185.184.25[.]78 | N/D | MUV Bilisim e Telekomunikasyon Hizmetleri Ltd. Sti. | N/D | N/D |
| 185.244.166[.]137 | N/D | Jan Philipp Waldecker negociando como LUMASERV Systems | N/D | N/D |
| 186.194.240[.]217 | N/D | SEMPRE TELECOMUNICAÇÕES LTDA | N/D | N/D |
| 187.63.160[.]88 | N/D | BITCOM PROVEDOR DE SERVIÇOS DE INTERNET LTDA | N/D | N/D |
| 188.44.20[.]25 | N/D | Empresa de serviços de comunicação A1 Makedonija DOOEL Skopje | N/D | N/D |
| 190.90.233[.]66 | N/D | INTERNEXA Brasil Operadora de Telecomunicações SA | N/D | N/D |
| 191.252.103[.]16 | N/D | Locaweb Serviços de Internet S/A | N/D | N/D |
| 194.9.172[.]107 | N/D | Função Abuso-C | N/D | N/D |
| 195.77.239[.]39 | N/D | TELEFÓNICA DE ESPANA SAU | N/D | N/D |
| 195.154.146[.]35 | N/D | Abuso Scaleway, ORG-ONLI1-RIPE | N/D | N/D |
| 196.218.30[.]83 | N/D | Função de contato de dados da TE | N/D | N/D |
| 197.242.150[.]244 | N/D | Afrihost (Pty) Ltd Empresas | N/D | N/D |
| 198.199.65[.]189 | N/D | DigitalOcean, LLC | N/D | N/D |
| 198.199.98[.]78 | N/D | DigitalOcean, LLC | N/D | N/D |
| 201.94.166[.]162 | N/D | Claro NXT Telecomunicações Ltda | N/D | N/D |
| 202.129.205[.]3 | N/D | NIPA TECNOLOGIA CO., LTD | N/D | N/D |
| 203.114.109[.]124 | N/D | IRT-TOT-TH | N/D | N/D |
| 203.153.216[.]46 | N/D | Iswadi Iswadi | N/D | N/D |
| 206.189.28[.]199 | N/D | DigitalOcean, LLC | N/D | N/D |
| 207.148.81[.]119 | N/D | A Companhia Constante, LLC | N/D | N/D |
| 207.180.241[.]186 | N/D | Contabo GmbH | N/D | N/D |
| 209.97.163[.]214 | N/D | DigitalOcean, LLC | N/D | N/D |
| 209.126.98[.]206 | N/D | GoDaddy.com, LLC | N/D | N/D |
| 210.57.209[.]142 | N/D | Andri Tamtrijanto | N/D | N/D |
| 212.24.98[.]99 | N/D | Visualização da Internet | N/D | N/D |
| 213.239.212[.]5 | N/D | Hetzner Online Ltda | N/D | N/D |
| 213.241.20[.]155 | N/D | Função de contato da Netia Telekom SA | N/D | N/D |
| 217.182.143[.]207 | N/D | OVH SAS | N/D | N/D |
Técnicas MITER ATT e CK
Esta tabela foi construída usando versão 12 das técnicas empresariais MITRE ATT&CK.
| Tática | ID | Nome | Descrição |
|---|---|---|---|
| Reconhecimento | T1592.001 | Reunir informações do host da vítima: Hardware | O Emotet coleta informações sobre o hardware da máquina comprometida, como a marca da CPU. |
| T1592.004 | Reunir informações do host da vítima: configurações do cliente | O Emotet reúne informações sobre a configuração do sistema, como o ipconfig / all e SystemInfo comandos. | |
| T1592.002 | Reunir informações do anfitrião da vítima: software | O Emotet exfiltra uma lista de processos em execução. | |
| T1589.001 | Reunir informações de identidade da vítima: credenciais | O Emotet implanta módulos capazes de roubar credenciais de navegadores e aplicativos de e-mail. | |
| T1589.002 | Reunir informações de identidade da vítima: endereços de e-mail | O Emotet implanta módulos que podem extrair endereços de e-mail de aplicativos de e-mail. | |
| Desenvolvimento de Recursos | T1586.002 | Contas comprometidas: contas de e-mail | O Emotet compromete as contas de e-mail e as usa para espalhar e-mails malspam. |
| T1584.005 | Infraestrutura comprometida: botnet | O Emotet compromete vários sistemas de terceiros para formar uma botnet. | |
| T1587.001 | Desenvolver recursos: malware | O Emotet consiste em vários módulos e componentes de malware exclusivos. | |
| T1588.002 | Obter recursos: ferramenta | Emotet usa ferramentas NirSoft para roubar credenciais de máquinas infectadas. | |
| Acesso Inicial | T1566 | Phishing | O Emotet envia e-mails de phishing com anexos maliciosos. |
| T1566.001 | Phishing: anexo de spearphishing | O Emotet envia e-mails de spearphishing com anexos maliciosos. | |
| Execução | T1059.005 | Interpretador de comandos e scripts: Visual Basic | O Emotet foi visto usando documentos do Microsoft Word contendo macros VBA maliciosas. |
| T1204.002 | Execução do usuário: arquivo malicioso | O Emotet conta com usuários que abrem anexos de e-mail maliciosos e executam scripts incorporados. | |
| Evasão de Defesa | T1140 | Desofuscar / decodificar arquivos ou informações | Os módulos Emotet usam cadeias de caracteres criptografadas e somas de verificação mascaradas de nomes de funções da API. |
| T1027.002 | Arquivos ou informações ofuscados: Pacote de software | O Emotet usa empacotadores personalizados para proteger suas cargas úteis. | |
| T1027.007 | Arquivos ou informações ofuscados: resolução de API dinâmica | O Emotet resolve chamadas de API em tempo de execução. | |
| Acesso de credencial | T1555.003 | Credenciais de armazenamentos de senhas: Credenciais de navegadores da Web | O Emotet adquire credenciais salvas em navegadores da Web abusando do aplicativo WebBrowserPassView da NirSoft. |
| T1555 | Credenciais de armazenamentos de senhas | O Emotet é capaz de roubar senhas de aplicativos de e-mail abusando do aplicativo MailPassView da NirSoft. | |
| Coleção | T1114.001 | Coleta de e-mail: coleção de e-mail local | Emotet rouba e-mails de aplicativos Outlook e Thunderbird. |
| Comando e controle | T1071.003 | Protocolo da Camada de Aplicação: Protocolos de Correio | O Emotet pode enviar e-mails maliciosos via SMTP. |
| T1573.002 | Canal criptografado: criptografia assimétrica | O Emotet está usando chaves ECDH para criptografar o tráfego C&C. | |
| T1573.001 | Canal criptografado: criptografia simétrica | Emotet está usando AES para criptografar o tráfego C&C. | |
| T1571 | Porta não padrão | O Emotet é conhecido por se comunicar em portas fora do padrão, como 7080. |
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
- Fonte: https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet/
