O Emotet é um programa malware de computador originalmente desenvolvido na forma de um cavalo de Troia bancário. O objetivo era acessar dispositivos externos e espionar dados particulares sigilosos. O Emotet é conhecido por enganar programas antivírus básicos e se esconder deles. Uma vez infectado, o malware se espalha como um worm de computador e tenta se infiltrar em outros computadores da rede.
O Emotet se espalha principalmente por e-mails de spam. O respectivo e-mail contém um link malicioso ou um documento infectado. Se você baixar o documento ou abrir o link, será feito download de outros malwares automaticamente para o seu computador. Esses e-mails foram criados para parecer muito autênticos, e muitas pessoas foram vítimas do Emotet.
O Emotet foi detectado pela primeira vez em 2014, quando clientes de bancos alemães e austríacos foram afetados pelo cavalo de Troia. O Emotet obteve acesso aos dados de login dos clientes. Nos anos seguintes, o vírus se espalharia globalmente.
O Emotet evoluiu de um cavalo de Troia bancário para um Dropper, o que significa que o cavalo de Troia recarrega malware nos dispositivos. São eles, então, os responsáveis pelos danos reais ao sistema.
Na maioria dos casos, os seguintes programas foram "jogados":
O objetivo dos criminosos virtuais por trás do Emotet é frequentemente o de extorquir dinheiro de suas vítimas. Por exemplo, eles ameaçam publicar ou liberar os dados criptografados aos quais têm acesso.
O Emotet tem como alvo indivíduos, bem como empresas, organizações e autoridades. Em 2018, depois de ser infectado pelo Emotet, o Hospital Fuerstenfeldbruck, na Alemanha, teve que desligar 450 computadores e se desconectar do centro de controle de resgate para tentar controlar a infecção. Em setembro de 2019, o Tribunal de Apelações de Berlim foi afetado e, em dezembro de 2019, a Universidade de Giessen. A Universidade Médica de Hannover e a administração da cidade de Frankfurt am Main também foram infectadas pelo Emotet.
Estes são apenas alguns exemplos de infecções por Emotet, estima-se que o número não divulgado de empresas afetadas seja muito maior. Também se presume que muitas empresas infectadas não quiseram relatar sua violação por medo de prejudicar sua reputação.
Também vale a pena considerar que, embora no início o Emotet visasse principalmente empresas e organizações, o cavalo de Troia agora tem como alvo principal indivíduos privados.
Inicialmente, as infecções pelo Emotet só foram detectadas em versões mais recentes do sistema operacional Microsoft Windows. Porém, no início de 2019, soube-se que os computadores fabricados pela Apple também foram afetados pelo Emotet. Os criminosos atraíram os usuários para uma armadilha com um e-mail falso do suporte da Apple. Alegando que a empresa "restringiria o acesso à sua conta" se você não respondesse. As vítimas foram então instruídas a seguir um link para supostamente impedir a desativação e exclusão de seus serviços Apple.
O Emotet é distribuído principalmente pela chamada colheita do Outlook. O cavalo de Troia lê os e-mails de usuários já afetados e cria um conteúdo aparentemente real. Esses e-mails parecem legítimos e pessoais — portanto, diferem dos e-mails de spam comuns. O Emotet envia esses e-mails de phishing para contatos armazenados como amigos, familiares e colegas de trabalho.
Na maioria das vezes, os e-mails contêm um documento do Word infectado que o destinatário deve fazer download ou um link perigoso. O nome correto é sempre exibido como o remetente. Portanto, os destinatários acham que ele é seguro: tudo parece um e-mail legítimo. Em seguida, eles (na maioria dos casos) clicam no link perigoso ou fazem download do anexo infectado.
Assim que o Emotet tem acesso a uma rede, ele pode se espalhar. No processo, ele tenta quebrar as senhas das contas usando o método de força bruta. Outras maneiras pelas quais o Emotet tem se espalhado incluem o exploit EternalBlue e a vulnerabilidade DoublePulsar no Windows, que permitia a instalação de malware sem intervenção humana. Em 2017, o cavalo de Troia de extorsão WannaCry conseguiu aproveitar o exploit EternalBlue para um grande ataque virtual que causou danos devastadores.
O Escritório Federal Alemão de Segurança de Informações (BSI) acredita que:
"Os desenvolvedores do Emotet estão sublocando seu software e infraestrutura para terceiros".
Eles também contam com um malware adicional para perseguir seus próprios objetivos. O BSI acredita que os criminosos são motivados financeiramente e, portanto, consideram como crime virtual — não espionagem. Ainda assim, ninguém parece ter uma resposta clara sobre quem exatamente está por trás do Emotet. Existem vários rumores sobre os países de origem, mas não há evidências confiáveis.
O Departamento de Segurança Interna dos EUA chegou à conclusão de que o Emotet é um software particularmente caro, com enorme poder destrutivo. O custo da limpeza é estimado em cerca de um milhão de dólares americanos por incidente. Portanto, Arne Schoenbohm, chefe do Escritório Federal Alemão para Segurança de Informações (BSI), chama o Emotet de "rei do malware".
O Emotet é, sem dúvida, um dos malwares mais complexos e perigosos da história. O vírus é polimórfico, o que significa que seu código muda um pouco sempre que é acessado.
Isso torna difícil para o software antivírus identificar o vírus: muitos programas antivírus realizam pesquisas baseadas em assinaturas. Em fevereiro de 2020, pesquisadores de segurança da Binary Search descobriram que o Emotet agora também está atacando redes Wi-Fi. Se um dispositivo infectado estiver conectado a uma rede sem fio, o Emotet verifica todas as redes sem fio próximas. Usando uma lista de senhas, o vírus tenta obter acesso às redes e infectar outros dispositivos.
Os criminosos virtuais gostam de explorar o medo da população. Portanto, não é de surpreender que o medo do coronavírus, que circula pelo mundo desde dezembro de 2019, também seja explorado pelo Emotet. Os criminosos virtuais por trás do cavalo de Troia geralmente falsificam e-mails que deveriam informar sobre o coronavírus e educar o público. Portanto, se você encontrar esse tipo de e-mail em sua caixa de entrada, seja especialmente cuidadoso com quaisquer anexos ou links no e-mail.
Ao se proteger contra o Emotet e outros cavalos de Troia, não é suficiente confiar apenas em programas antivírus. Detectar o vírus polimórfico é apenas a primeira etapa para os usuários finais. Simplesmente não há solução que forneça 100% de proteção contra o Emotet ou outros cavalos de Troia em constante mudança. Somente tomando medidas organizacionais e técnicas, você pode reduzir o risco de infecção ao mínimo.
Em primeiro lugar, não entre em pânico se suspeitar que o seu PC possa estar infectado com o Emotet. Informe seu círculo pessoal sobre a infecção, pois as pessoas em seus contatos de e-mail estão potencialmente em risco.
Em seguida, certifique-se de isolar o computador, se ele estiver conectado a uma rede, para reduzir o risco de propagação do Emotet. Em seguida, você deve alterar todos os dados de login de todas as suas contas (contas de e-mail, navegadores da Web etc.). Faça isso em um dispositivo separado que não esteja infectado ou conectado à mesma rede.
Como o Emotet é polimórfico (o que significa que seu código muda ligeiramente sempre que é acessado), um computador limpo pode ser reinfectado rapidamente, se estiver conectado a uma rede infectada. Portanto, você deve limpar todos os computadores conectados à rede — um após o outro. Use um programa antivírus para ajudá-lo a fazer isso. Como alternativa, você também pode entrar em contato com um especialista, como seu provedor de software antivírus, para obter orientação e ajuda.
A CERT (Equipe de resposta a emergências de computadores) do Japão publicou uma ferramenta chamada EmoCheck, que afirma que pode ser usada para verificar se há uma infecção do Emotet no seu computador. Mas como o Emotet é polimórfico, o EmoCheck não pode garantir com 100% de certeza de que o computador não está infectado.
O que o EmoCheck faz é detectar cadeias de caracteres típicas e avisar sobre um possível cavalo de Troia. No entanto, a mutabilidade do vírus não garante que o computador esteja realmente limpo — o que vale a pena ter em mente.
O cavalo de Troia Emotet é realmente um dos malwares mais perigosos da história da segurança virtual. Qualquer um pode se tornar uma vítima – indivíduos privados, empresas e até autoridades globais. Pois, uma vez que o cavalo de Troia se infiltra em um sistema, ele recarrega outro malware para espionar você.
Muitas das vítimas do Emotet são frequentemente chantageadas para pagar um resgate para obter os dados de volta. Infelizmente, não existe uma solução que forneça 100% de proteção contra uma infecção do Emotet. No entanto, existem várias medidas que podem ser tomadas para reduzir o risco de uma infecção.
Se suspeitar que seu computador esteja infectado com o Emotet, deve executar as ações mencionadas neste artigo para limpar o computador e certificar-se de estar protegido com uma solução antivírus abrangente, como as soluções antimalware Kaspersky.
Artigos relacionados: