TA542 fortalece as táticas de ataque do Emotet

O que aconteceu?

• Em agosto de 2020 , TA542 foi visto executando campanhas de e-mail distribuindo malware Emotet, com algumas inovações. A Emotet agora está distribuindo o afiliado Qbot “partner01” como a carga útil principal entregue em vez do The Trick.
• Além de visar o conjunto básico de países (Alemanha, Áustria, Suíça, Estados Unidos, Reino Unido e Canadá), as campanhas agora também incluem novas áreas, como Indonésia, Filipinas, Suécia e Índia.

Métodos de ataque

A nova campanha está usando anexos de e- mail roubados legítimos e tópicos de e- mail, para atrair as vítimas a abrir os anexos do Word ou PDF ou URLs vinculados aos downloads.

• TA542, adicionalmente, usa idiomas locais específicos de cada país, assuntos atuais e tópicos populares como COVID-19 como iscas.
• Os e-mails também incluem vários detalhes personalizados sobre as vítimas, como nome, cargo, nome da empresa ou domínio da empresa na linha de assunto.

Destaques recentes

• Desde o seu ressurgimento em meados de julho, as campanhas de malware da Emotet foram vistas enviando centenas de milhares de mensagens, tornando-o novamente um dos malwares com maior disseminação .
• Em meados de agosto de 2020, os pesquisadores divulgaram que descobriram um kill switch para parar esse malware em fevereiro e o estavam promovendo para reduzir o risco. No entanto, os operadores Emotet novamente fizeram algumas atualizações em seu carregador de núcleo, desabilitando o próprio switch.

Conclusão

O TA542 não está apenas fazendo melhorias rápidas em suas táticas de ataque de malware, mas também restringindo as tentativas feitas para interromper seu progresso. Sua expansão para novas geografias-alvo indica claramente suas ambições crescentes. Portanto, como sugerem os especialistas, a melhor maneira de se proteger contra esse malware é ficar mais vigilante enquanto abre e-mails e anexos recebidos de remetentes desconhecidos e aproveita uma abordagem proativa baseada em inteligência para conter essas ameaças em um estágio inicial.

Fonte: https://cyware.com/news/ta542-fortifies-emotets-attack-tactics-5a8c2c2c