{"id":19747,"date":"2023-01-31T19:28:02","date_gmt":"2023-01-31T22:28:02","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19747"},"modified":"2023-01-31T19:28:03","modified_gmt":"2023-01-31T22:28:03","slug":"malware-emotet-esta-de-volta-com-novas-tecnicas-de-evasao","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2023\/01\/basico\/malware-emotet-esta-de-volta-com-novas-tecnicas-de-evasao\/","title":{"rendered":"Malware Emotet est\u00e1 de volta com novas t\u00e9cnicas de evas\u00e3o"},"content":{"rendered":"\n<p style=\"text-align: justify;\">A opera\u00e7\u00e3o de malware Emotet continuou a refinar suas t\u00e1ticas em um esfor\u00e7o para passar despercebida, ao mesmo tempo em que atua como um canal para outros malwares perigosos, como Bumblebee e IcedID.<\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">O Emotet, que ressurgiu oficialmente no final de 2021 ap\u00f3s uma remo\u00e7\u00e3o coordenada de sua infraestrutura pelas autoridades no in\u00edcio daquele ano, continuou a ser uma amea\u00e7a persistente distribu\u00edda por e-mails de phishing.<\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\">Atribu\u00eddo a um grupo de crimes cibern\u00e9ticos rastreado como TA542 (tamb\u00e9m conhecido como Gold Crestwood ou Mummy Spider), o v\u00edrus evoluiu de um trojan banc\u00e1rio para um distribuidor de malware, desde sua primeira apari\u00e7\u00e3o em 2014.<\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">O malware-as-a-service\u00a0 (MaaS) tamb\u00e9m \u00e9 modular, capaz de implantar uma variedade de componentes propriet\u00e1rios e freeware que podem exfiltrar informa\u00e7\u00f5es confidenciais de m\u00e1quinas comprometidas e realizar outras atividades p\u00f3s-explora\u00e7\u00e3o.<\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">Duas adi\u00e7\u00f5es mais recentes ao arsenal de m\u00f3dulos do Emotet incluem um espalhador SMB projetado para facilitar o movimento lateral usando uma lista de nomes de usu\u00e1rio e senhas codificados e um ladr\u00e3o de cart\u00e3o de cr\u00e9dito que visa o navegador Chrome.<\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\">Campanhas recentes envolvendo o botnet alavancaram iscas gen\u00e9ricas com anexos armados para iniciar a cadeia de ataque. Mas com as macros se tornando um m\u00e9todo obsoleto de distribui\u00e7\u00e3o de carga \u00fatil (payloads) e infec\u00e7\u00e3o inicial, os ataques se agarraram a outras abordagens para passar furtivamente o Emotet pelas ferramentas de detec\u00e7\u00e3o de malware.<\/p>\n<p>\u00a0<\/p>\n<div class=\"separator\"><a href=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgGghNTYkHHKQGGI3S78YGHGHkxJR_OAlG5CrXDPV-8ALev5oN1lE7vZagsYrqB3j1XXd1o4i5OLb-aXwO3mtsVmJAqxt-vznn8tenjblw4JRxDtnJxlzrpxHnf78cEJKU_UY6fN1G7I1wisXEPe5ojEfgo-doFGI3SMqhPGJrzC6K1S3iPAPm9O_yA\/s728-e365\/emotet.png\" class=\"gallery_colorbox\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" title=\"Emotet Malware\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgGghNTYkHHKQGGI3S78YGHGHkxJR_OAlG5CrXDPV-8ALev5oN1lE7vZagsYrqB3j1XXd1o4i5OLb-aXwO3mtsVmJAqxt-vznn8tenjblw4JRxDtnJxlzrpxHnf78cEJKU_UY6fN1G7I1wisXEPe5ojEfgo-doFGI3SMqhPGJrzC6K1S3iPAPm9O_yA\/s728-e3650\/emotet.png\"  alt=\"Emotet Malware\" width=\"610\" height=\"538\" border=\"0\" data-original-height=\"642\" data-original-width=\"728\" \/><\/a><\/div>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">&#8220;Com a mais nova onda de e-mails de spam do Emotet, os arquivos .XLS anexados t\u00eam um novo m\u00e9todo para induzir os usu\u00e1rios a permitir que macros baixem o conta-gotas&#8221;, revelou a BlackBerry em um relat\u00f3rio publicado na semana passada. \u201cAl\u00e9m disso, as novas variantes do Emotet agora passaram de 32 bits para 64 bits, como outro m\u00e9todo para evitar a detec\u00e7\u00e3o\u201d.<\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">O m\u00e9todo envolve instruir as v\u00edtimas a mover os arquivos iscas do Microsoft Excel para a pasta padr\u00e3o de modelos do Office no Windows, um local confi\u00e1vel pelo sistema operacional, para executar macros maliciosas incorporadas nos documentos para entregar o Emotet.<\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">Em outras palavras, a reviravolta da engenharia social torna poss\u00edvel ignorar as prote\u00e7\u00f5es Mark of the Web (MotW), que carregam os arquivos do Office baixados da Internet no Modo de Exibi\u00e7\u00e3o Protegido, um modo somente leitura com macros e outros conte\u00fados desabilitados.<\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">O desenvolvimento aponta para as constantes tentativas do Emotet de se reequipar e propagar outros malwares, como Bumblebee e IcedID.<\/p>\n<p>\u00a0<\/p>\n<p>&#8220;Com sua evolu\u00e7\u00e3o constante nos \u00faltimos oito anos, o Emotet continuou a se tornar mais sofisticado em termos de t\u00e1ticas de evas\u00e3o; adicionou m\u00f3dulos adicionais em um esfor\u00e7o para se propagar ainda mais e agora est\u00e1 espalhando malware por meio de campanhas de phishing&#8221;, conforme informa\u00e7\u00e3o da empresa canadense de seguran\u00e7a cibern\u00e9tica.<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>Este artigo \u00e9 uma tradu\u00e7\u00e3o de: <a href=\"https:\/\/thehackernews.com\/2023\/01\/emotet-malware-makes-comeback-with-new.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2023\/01\/emotet-malware-makes-comeback-with-new.html<\/a>\u00a0 (Autor: <span class=\"p-author\"><span class=\"author\">Ravie Lakshmanan<\/span><\/span>)<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>A opera\u00e7\u00e3o de malware Emotet continuou a refinar suas t\u00e1ticas em um esfor\u00e7o para passar despercebida, ao mesmo tempo em que atua como um canal para outros malwares perigosos, como Bumblebee e IcedID. \u00a0 O Emotet, que ressurgiu oficialmente no final de 2021 ap\u00f3s uma remo\u00e7\u00e3o coordenada de sua infraestrutura pelas autoridades no in\u00edcio daquele [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":19751,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19747","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19747","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19747"}],"version-history":[{"count":5,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19747\/revisions"}],"predecessor-version":[{"id":19753,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19747\/revisions\/19753"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19751"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19747"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19747"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19747"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}