EmoCrash: um interruptor de segurança Emotet para defesa
Vulnerabilidades e explorações costumam ser más notícias para os usuários do produto. No entanto, o malware também pode ter falhas que podem ser usadas por pesquisadores de segurança para derrotar o malware.
Pesquisadores da Binary Defense encontraram uma vulnerabilidade explorável em um malware trojan prolífico e altamente bem-sucedido, o Emotet.
Ameaças únicas exigem soluções únicas
O pesquisador de defesa binária James Quinn descobriu uma vulnerabilidade de estouro de buffer no processo de instalação do Emotet e a aproveitou para desenvolver um interruptor de eliminação. Este buffer de dados pode ser implantado antes da infecção (como uma vacina) ou no meio da infecção (como um kill switch).
- Em agosto de 2020, os pesquisadores divulgaram o desenvolvimento das versões V1 e V2 do kill switch “ EmoCrash ” e o distribuíram para defensores em todo o mundo em 12 de fevereiro de 2020, com instruções estritas para não publicá-lo.
- O killswitch estava ativo de 6 de fevereiro de 2020 a 6 de agosto de 2020. Depois disso, os desenvolvedores do Emotet enviaram uma atualização do carregador de núcleo para remover o código de valor de registro vulnerável, desativando assim o interruptor de eliminação.
Emotet de volta ao modo de trabalho
Em meados de agosto de 2020, após desabilitar o interruptor de interrupção, o Emotet ressurgiu em um ritmo rápido com recursos e capacidades mais sofisticados
- A Emotet começou a usar iscas relacionadas ao COVID-19 para direcionar seus negócios nos EUA e no Reino Unido
- Além disso, o malware foi encontrado usando anexos roubados, junto com sequências de conversas por e-mail (que também incluíam e-mails falsos de extorsão).
Uma panacéia inesperada
Em agosto de 2020, um misterioso vigilante iniciou a operação ‘ Emotehack ‘ e estava lutando contra os atores da ameaça por trás do Emotet, substituindo cargas maliciosas por GIFs e memes caprichosos.
O resultado final
Embora a distribuição de spam da Emotet tenha sido derrotada por um curto período, seus operadores não ficaram inativos durante esse tempo, pois passaram a se concentrar em melhorar ainda mais seus recursos e capacidades. Portanto, os usuários são recomendados a ficarem cautelosos, pois esse malware notório ainda está muito vivo.