EmoCrash: um interruptor de segurança Emotet para defesa

Pesquisadores da Binary Defense encontraram uma vulnerabilidade explorável em um malware trojan prolífico e altamente bem-sucedido, o Emotet.

Ameaças únicas exigem soluções únicas

O pesquisador de defesa binária James Quinn descobriu uma vulnerabilidade de estouro de buffer no processo de instalação do Emotet e a aproveitou para desenvolver um interruptor de eliminação. Este buffer de dados pode ser implantado antes da infecção (como uma vacina) ou no meio da infecção (como um kill switch).

• Em agosto de 2020, os pesquisadores divulgaram o desenvolvimento das versões V1 e V2 do kill switch “ EmoCrash ” e o distribuíram para defensores em todo o mundo em 12 de fevereiro de 2020, com instruções estritas para não publicá-lo.
• O killswitch estava ativo de 6 de fevereiro de 2020 a 6 de agosto de 2020. Depois disso, os desenvolvedores do Emotet enviaram uma atualização do carregador de núcleo para remover o código de valor de registro vulnerável, desativando assim o interruptor de eliminação.

Emotet de volta ao modo de trabalho

Em meados de agosto de 2020, após desabilitar o interruptor de interrupção, o Emotet ressurgiu em um ritmo rápido com recursos e capacidades mais sofisticados

• A Emotet começou a usar iscas relacionadas ao COVID-19 para direcionar seus negócios nos EUA e no Reino Unido
• Além disso, o malware foi encontrado usando anexos roubados, junto com sequências de conversas por e-mail (que também incluíam e-mails falsos de extorsão).

Uma panacéia inesperada

Em agosto de 2020, um misterioso vigilante iniciou a operação ‘ Emotehack ‘ e estava lutando contra os atores da ameaça por trás do Emotet, substituindo cargas maliciosas por GIFs e memes caprichosos.

O resultado final

Embora a distribuição de spam da Emotet tenha sido derrotada por um curto período, seus operadores não ficaram inativos durante esse tempo, pois passaram a se concentrar em melhorar ainda mais seus recursos e capacidades. Portanto, os usuários são recomendados a ficarem cautelosos, pois esse malware notório ainda está muito vivo.