Governo do Japão lança ferramenta que detecta nova versão do malware Emotet

O governo japonês liberou nesta semana uma nova versão de sua ferramenta EmoCheck, atualizada para identificar a nova versão do botnet Emotet. O software é capaz de varrer sistemas Windows em busca do malware e indicar o caminho de instalação caso ele seja detectado, permitindo que administradores e profissionais de segurança tomem as medidas necessárias para mitigação do problema.

• Log4j e Exchange foram as falhas mais exploradas pelo cibercrime em 2021
• Bancos de dados expostos na internet aumentaram 12% no começo de 2022

A liberação feita pelo CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança) do Japão é uma resposta à recente atualização do cavalo de Troia, que ganhou programação em 64-bit e novos recursos. Enquanto escalam as infecções com essa nova edição da botnet, o EmoCheck original perdia seu propósito, já que só era capaz de identificar as edições de 32-bit da ameaça.

A recomendação dos especialistas é do download e execução da ferramenta em sistemas corporativos, com tomada imediata de ação caso uma contaminação seja identificada. Além de apagar a pasta e todos os arquivos criados pelo Emotet, os responsáveis também devem checar o Gerenciador de Tarefas do Windows e finalizar processos ligados ao malware, que normalmente atende por regsvr32.exe.

Por fim, outras medidas usuais de segurança devem ser tomadas, como a limpeza com um bom software de segurança e o monitoramento de endpoints para garantir que a contaminação prévia com o Emotet já não tenha resultado em novas explorações. Normalmente, o trojan serve de abertura para ataques envolvendo ransomware e roubo de dados, com sua infraestrutura, normalmente, sendo comercializada a terceiros pelos responsáveis originais pelo comprometimento.

De acordo com o JPCERT, o olho deve ser mantido vivo para e-mails fraudulentos, já que, mesmo em uma nova versão mais furtiva e capaz, o phishing segue como o maior vetor de disseminação do Emotet. Colaboradores não devem abrir anexos ou clicar em links que cheguem por correio eletrônico a não ser que tenham certeza absoluta sobre a procedência, já que os documentos do pacote Office, arquivos ISO ou ZIP são as principais iscas.

As primeiras detecções da nova versão do Emotet começaram a surgir na última semana. Entre 30 mil e-mails fraudulentos em 10 idiomas, enviados apenas em fevereiro deste ano, apareceu a nova arquitetura do cavalo de Troia, que já começa a tomar o lugar da versão antiga, enquanto mantém seu lugar como o malware mais popular e perigoso do mundo.

Fonte: JPCERT (GitHub)