O Emotet, conhecido como Trojan modular, foi descoberto pela primeira vez em meados de 2014. Desde então, tornou-se muito ativo, atualizando-se continuamente. Também tem sido destaque nas notícias de segurança cibernética de tempos em tempos. De acordo com os relatórios do FortiGuard Labs para Brasil e América Latina, o Emotet esteve ativo na região ao longo de 2021 e continua este ano.

Pesquisando o arquivo do Excel

Os analistas do FortiGuard Labs pegaram um arquivo Excel das amostras capturadas e conduziram uma pesquisa profunda sobre esta campanha. O golpe está em atrair a vítima a clicar no botão “Habilitar Conteúdo” para visualizar o conteúdo protegido do arquivo Excel. Este arquivo pode ter chegado à vítima de um usuário desconhecido ou como um anexo em um e-mail de phishing.

O que acontece ao clicar em "Habilitar Conteúdo"?

• A Macro maliciosa possui uma função chamada “Workbook_Open()” que é executada automaticamente em segundo plano quando o arquivo do Excel é aberto. Ele chama outras funções locais para gravar dados em dois arquivos: "uidpjewl.bat" e "tjspowj.vbs" na pasta “C:\ProgramData\”. Os dados escritos são lidos de várias células deste arquivo Excel. No final, a Macro executa o arquivo "tjspowj.vbs" com “wscript.exe”.
• Uma vez que o arquivo Emotet (“puihoud.dll”) é carregado por “rundll32.exe”, sua função de ponto de entrada é chamada pela primeira vez.
• Assim que o Emotet termina de coletar as informações básicas do dispositivo da vítima, ele chama a API BCryptEncrypt() para criptografar os dados e iniciar a comunicação com o servidor Command & Control (C2).
• Uma vez que o Emotet recebe uma resposta válida do servidor C2, ele realoca o arquivo Emotet dll baixado de “C:\Windows\ProgramData\puihoud.dll” para a pasta “%LocalAppData%”.
• Além disso, para permanecer no dispositivo da vítima, o Emotet se torna persistente ao adicionar o arquivo realocado ao grupo de execução automática no registro do sistema. O Emotet pode então ser executado na inicialização do sistema.

A equipe do FortiGuard Labs da Fortinet monitorou as campanhas do Emotet Trojan no passado e publicou vários blogs de análise técnica.

O que fazer para se proteger

A proteção mais efetiva é sempre a conscientização dos usuários finais. Fazer com que todos os funcionários saibam identificar e-mails e mensagens suspeitas, assim como o funcionamento de uma campanha de phishing, é o primeiro passo que as empresas têm que dar. O curso gratuito da Fortinet (em português) NSE 1 – Conscientização sobre Segurança da Informação inclui um módulo sobre ameaças da Internet projetado para ajudar os usuários finais a aprenderem como identificar e se proteger contra ataques de phishing.

Além disso, soluções de avançadas de segurança ajudam as organizações a estarem protegidas:
• A macro maliciosa dentro da amostra do Excel pode ser desarmada por um serviço de CDR (Content Disarm & Reconstruction), tecnologia para remover códigos potencialmente maliciosos de arquivos;
• Um bom serviço de web filtering que classifique todas as URLs relevantes como "sites maliciosos";
• Bloqueio dos arquivos de malware por um antivírus;
• Solução de EDR (Endpoint Detection and Response) para detectar o arquivo Excel e o arquivo dll Emotet como maliciosos com base em seu comportamento.