“Hacker do bem” vem usando GIFs para sabotar ataques do malware Emotet
Por Rafael Arbulu | 27 de Julho de 2020 às 11h49
Dando toda uma nova consistência ao meme “nem todo herói usa capa”, uma pessoa de identidade ainda desconhecida vem fazendo o papel de “herói vigilante” ao atacar hackers que usam do malware Emotet para roubar informações de vítimas via e-mail. E ele ou ela vem fazendo isso da forma mais cômica possível: com GIFs.
Para entender exatamente o que vem acontecendo, é necessário contextualizar o Emotet. Tido como uma das botnets mais perigosas da atualidade, ela basicamente consiste no envio de e-mails disfarçados de mensagens de negócio, contendo arquivos do Office ou links que levam a ataques maliciosos e roubos de informação.
Resumidamente, quando uma vítima clica em um dos links, ou habilita a edição de macros em um documento do Office anexado nestes e-mails, o Emotet faz o download todo tipo de conteúdo armazenado naquela máquina, temporariamente hospedando todo o material baixado em servidores hackeados de Wordpress para extração posterior.
O “problema”: hackers que fazem uso do Emotet não estão usando as ferramentas mais topo de linha, geralmente apelando para componentes de código aberto para construírem seus ataques. Usuários desta botnet controlam servidores Wordpress por meio de algo chamado “web shell”, uma espécie de malware. Não apenas esses web shells são de código aberto, como a senha de controle de cada um tende a ser a mesma.
Em outras palavras: se alguém, digamos, um paladino digital da justiça, consegue descobrir a dita senha, automaticamente ele assume o controle dos servidores comprometidos, podendo fazer o que bem entende com o mecanismo de ataque.
E sabendo que “com grandes poderes, vem grandes responsabilidades”, essa pessoa fez justamente isso: desde a última quinta-feira, 23, vem trocando o payload do Emotet por GIFs humorísticos. Basicamente, essa simples ação impede que vítimas desavisadas caiam no golpe ao clicar em links ou baixar os arquivos maliciosos.
E em uma onda de justiça poética, o “super-herói digital” vem escolhendo GIFs a dedo, no que provavelmente simboliza a expressão dos crackers quando se dão conta de que estão sem sua principal ferramenta de ataque, tal qual nos exemplos abaixo:
E ninguém sabe quem é esse herói. Atualmente, suspeitas baseadas nas atividades conduzidas por ele ou ela indicam tratar-se de um grupo rival ou algum membro de alguma comunidade white hat.
Ao que tudo indica, essa “guerra digital” vem tomando as formas de um jogo de gato e rato: os hackers vilanescos por trás do Emotet já sabem que tem algo errado e vêm tentando expulsar o hacker vigilante de seus servidores. Mas, até o momento, não tiveram sucesso. Devido a essa concentração de esforços, eles não estão conduzindo novos ataques, enquanto o ou a vigilante vai editando mais e mais web shells.
Fonte: Techradar