Saiba o que é o Emotet e como defender-se deste perigoso trojan

O Emotet é um trojan que se espalha através de e-mails de spam. A infeção pode chegar através de um script malicioso, de ficheiros de documentos com macros, ou um link. Os e-mails portadores deste malware geralmente contêm um aspeto e um branding credíveis, junto da pessoa que é alvo, de modo a que pareçam um e-mail legítimo.

Trata-se principalmente de um trojan bancário, capaz de roubar dados, tais como credenciais de utilização arquivadas num browser, através da monitorização do tráfego de rede.

Desde que foi descoberto em 2014, o Emotet tem sido um elemento frequente em vários ataques informáticos. A sua capacidade de passar despercebido, juntamente com a sua habilidade em introduzir mais malware através da backdoor por ele implementada, torna o Emotet uma opção apelativa para muitos hackers e uma ameaça significativa para todos os especialistas em cibersegurança.

Emotet é um programa de malware originalmente desenvolvido sob a forma de um Trojan bancário. O objetivo era aceder a dispositivos eletrónicos e espiar dados privados sensíveis.

Este programa cria backdoors em computadores e redes que podem ser exploradas por cibercriminosos, sendo necessário um conhecimento de informática e tecnologia para utilizá-lo. Depois de o Emotet infetar o computador da vítima, o hacker pode roubar todas as informações privadas que desejar. O Emotet também tenta propagar-se para outros dispositivos ligados ao computador já infetado.

A distribuição do Emotet depende fortemente da engenharia social, o que alimenta a natureza insidiosa deste vírus. O Emotet propaga-se através de e-mails de spam extremamente convincentes, nos quais a vítima é persuadida a clicar num link e, dessa forma, a executar o descarregamento do malware.

É importante notar que o Emotet é uma forma de malware polimórfico, o que o torna um desafio muito perigoso para qualquer software antivírus ou scanner. Um vírus polimórfico pode alterar o seu próprio código em tempo real, mantendo as suas funcionalidades, e podendo assim enganar repetidamente um antivírus que esteja à procura de assinaturas específicas de outros malwares conhecidos e reconhecíveis. Como um ladrão que seja mestre do disfarce e consiga sempre fintar a polícia, incapaz de reconhecê-lo. Essa sua natureza polimórfica torna o Emotet, em muitos casos, indetetável. E quando é finalmente encontrado, o dano já foi infligido.

Originalmente, as infeções causadas pelo Emotet só eram encontradas em versões do Microsoft Windows, ainda que atualizadas para as versões mais recentes. No entanto, no início de 2019, descobriu-se que os computadores fabricados pela Apple também podiam ser afetados pelo Emotet. Os criminosos enganaram os utilizadores através de um e-mail falso, supostamente enviado pelo serviço de apoio ao cliente. Alegavam que a empresa iria “restringir o acesso à sua conta” caso a vítima não seguisse as instruções solicitadas. As vítimas eram então instruídas a clicar um link, abrindo a “porta” à instalação do software malicioso.

A versão inicial do Emotet em 2014 era um simples trojan destinado a infiltrar-se nos sistemas bancários e obter as credenciais necessárias para o roubo eletrónico. A sua notoriedade inicial deveu-se aos resultados conseguidos junto de alvos bancários, principalmente na Europa. A sua utilização pelo gangue Ryuk, conhecido esquadrão do cibercrime dedicado à disseminação de ransomware e associado à Coreia do Norte, também lhe granjeou fama.

Em 2017, os criadores do Emotet decidiram apresentar o vírus como um “malware-as-a-service” (malware como serviço). Estabeleceram uma botnet com base na infraestrutura do Emotet e permitiram, usando a dark web para os contactos, que outros hackers “alugassem” a respetiva utilização.

Após os esforços das equipas de cibersegurança da Europol, a botnet foi finalmente desativada em 25 de abril de 2021. Mas seria sol de pouca dura. Registou-se em novembro de 2021 um reaparecimento do uso do Emotet, implementado pelo Trickbot, outro malware bancário.

Em 2019, as funcionalidades Emotet estavam plenamente operacionais e a ser utilizadas por diversos hackers, tanto por grupos como individualmente. Foi nesse ano que as capacidades do Emotet ganharam larga notoriedade pública, quando ocorreu um ataque contra várias instituições alemãs.

Durante duas semanas, o Emotet infetou as Universidades Justus Liebig (na cidade de Giessen) e Católica (em Freiburg) e os sistemas do município de Bad Homburg, nos arredores de Frankfurt. A vítima final foi toda a rede de Tecnologias de Informação das autoridades municipais da própria cidade de Frankfurt, o centro financeiro da Alemanha e a 5.ª maior cidade do país. A infeção em Frankfurt foi depois rastreada até se compreender que o problema começou num funcionário que abriu o anexo malicioso de um e-mail.

Para evitar o risco de um ataque de ransomware após detetar a infeção do Emotet, Frankfurt desligou imediatamente a sua rede informática e trabalhou para eliminar a infeção dos seus sistemas. A única instituição que não conseguiu interromper a infeção a tempo foi a Universidade Justus Liebig, que rapidamente se tornou vítima de ransomware.

Os ataques do Emotet têm maior notoriedade quando se trata de empresas, organizações e autoridades. A Alemanha tem sido um alvo frequente. Para além do já referido caso de Frankfurt, já em 2018 havia sido atacado o Hospital Fuerstenfeldbruck, que se viu obrigado a desligar mais de 400 computadores, numa tentativa de responder ao ataque do Emotet. Também o ataque à Universidade Médica de Hannover foi publicamente divulgado.

Mas estes são apenas alguns exemplos de infeções causadas pelo Emotet, sendo estimado que o número de empresas afetadas, que não tenham divulgado o caso, seja muito maior. E vale a pena ter em conta que, embora o Emotet possa ter organizações como alvos prioritários, nada impede que cidadãos particulares possam ser atacados.

Sim! Proteja-se.

Quando se passam alguns anos sobre um determinado ciberataque muito mediatizado, normalmente crê-se que o pior da ameaça já passou. Desaparece das notícias, logo, desaparece das preocupações. Eventualmente os especialistas em cibersegurança já arranjaram uma solução e não vale a pena pensar mais nisso.

Mas o facto é que os alertas e avisos dos especialistas nem sempre têm a mesma atenção mediática que os grandes ataques, incidentes e problemas urgentes. Em março de 2023, o Centro Nacional de Cibersegurança (CNCS) emitiu um alerta relacionado com o Emotet. Tratava-se do facto de se ter detetado um aumento no número de e-mails enviados contendo código da “família” do malware Emotet. Contudo, praticamente só portais especializados em tecnologia e informática, como o Pplware ou o Tek, deram atenção a este assunto.

Como sucede com o malware polimórfico em geral, a identificação do Emotet é extremamente difícil. Alguns softwares que aplicam deteção baseada em comportamentos podem funcionar, pois identificam ameaças com base no respetivo comportamento, em vez de inspecionarem o código, como fazem os antivírus habitualmente. Felizmente, o JPCERT (o núcleo de resposta a emergências computacionais do Japão, equivalente ao CERT.PT do CNCS) desenvolveu uma ferramenta chamada EmoCheck, que lhe dará uma resposta sobre se o seu dispositivo estará ou não infetado com o Emotet (embora não seja 100% segura).

Como sempre, é aconselhável ficar atento às suas finanças. Se notar movimentações suspeitas ou identificar levantamentos indevidos, deverá tomar medidas com urgência (seja o problema relacionado com o malware Emotet ou de qualquer outra natureza).

O Emotet é principalmente distribuído através do Microsoft Outlook, não estando fora de hipótese o uso de outros serviços de e-mail. Através da identificação de endereços de e-mail habituais, o programa consegue enviar e-mails que parecem legítimos e pessoais, diferindo dos e-mails de spam comuns. Um programa que consiga ler os seus e-mails poderá recriar esses dados para lhe enviar um e-mail que parece legítimo; imagine se entretanto o Emotet for “reforçado” com o chatGPT ou outro modelo de inteligência artificial… O Emotet envia então esses e-mails de phishing para contactos armazenados, tais como amigos, familiares e colegas de trabalho.

Na maioria das vezes, os e-mails contêm um documento do Word infetado que o destinatário deve descarregar, ou então um link perigoso. O nome do remetente é sempre apresentado corretamente, levando os destinatários a acreditar que é seguro; o aspeto é totalmente confiável. Por isso, a probabilidade de haver mais pessoas a cair na esparrela e a clicar no link (ou a descarregar o anexo) é maior. Assim que o Emotet obtém acesso a uma rede, pode espalhar-se. Durante esse processo, tenta adivinhar as palavras-passe das contas utilizando o método de força bruta.

Outras formas pelas quais o Emotet se tem espalhado incluem o exploit EternalBlue e a vulnerabilidade do DoublePulsar no Windows, que permitem a instalação de malware sem intervenção humana. Em 2017, o trojan WannaCry aproveitou-se do EternalBlue para lançar um grande ataque informático que causou danos devastadores.

Os procedimentos a seguir são semelhantes aos que se aplicam para qualquer outra ciber-emergência do mesmo género. Comece por manter a calma! Serão momentos de stress, pelo que deverá preparar-se previamente para situações destas de modo a estar seguro de si (e da sua organização, se for o caso) quando o momento chegar. Afinal, o próprio gestor Mário Vaz refere-se ao ataque informático à Vodafone, empresa que comandava no início de 2022, como o pior momento da sua vida profissional.

Informe o seu círculo pessoal sobre a infeção, uma vez que as pessoas nos seus contactos de e-mail estarão potencialmente em risco. Em seguida, certifique-se que isola o computador caso esteja ligado a uma rede, a fim de reduzir o risco de propagação do Emotet. Veja acima o exemplo extremo seguido pelo município de Frankfurt no ataque de 2019. Em seguida, deverá alterar todos os dados de login das suas contas (e-mails, navegadores da web, etc.). Faça isso noutro dispositivo, que não esteja infetado ou ligado à mesma rede.

Devido ao facto de o Emotet ser polimórfico (o que significa que o seu código muda ligeiramente sempre que é acedido), um computador limpo pode ser rapidamente reinfetado se estiver ligado a uma rede infetada. Portanto, é necessário limpar todos os computadores ligados à rede, um de cada vez. Utilize um programa antivírus para o ajudar nesta tarefa. Como alternativa, também pode contactar um especialista, como o fornecedor do seu software antivírus, para obter orientação e assistência. Se está responsável por uma organização, é hora de acionar equipas técnicas (próprias ou subcontratadas) já preparadas para estas emergências.

Não deixe de ter em conta o uso da app EmoCheck que também referimos acima.

• Conhecimento é poder, e os ataques de engenharia social baseiam-se precisamente nisto. Tenha em mente que os hackers tentam ativamente induzi-lo a clicar em links ou descarregar ficheiros que parecem normais mas são na verdade malware executável. Se receber um e-mail suspeito ou proveniente de um endereço de e-mail estranho, envie-o diretamente para a pasta de lixo.
• Proteja a privacidade das suas atividades. Pode achar que não tem nada a esconder, mas não é aí que está o problema; é na utilização da informação pública sobre a sua vida e as suas atividades contra si. Quem souber onde mora, o que faz a sua empresa, o nome dos seus familiares, etc., terá mais oportunidades de criar uma mensagem credível que o leve a clicar num link malicioso. Uma VPN cria um escudo de encriptação à volta das suas comunicações enviadas e recebidas, tornando quase impossível, a softwares e hackers, identificar a respetiva informação.
• Proteger as suas contas com autenticação de dois fatores é uma excelente forma de evitar que dados roubados sejam usados contra si. O Emotet normalmente utiliza ataques de força bruta para quebrar algumas passwords de administrador, por isso certifique-se de fortalecer as suas contas criando passwords seguras. Pode facilitar essa tarefa ao optar por um gestor de passwords, como o NordPass, que irá ajudar na criação de códigos complexos.
• Faça backups regulares dos seus dados num dispositivo de armazenamento externo. Em caso de infeção, terá sempre uma cópia de segurança ao qual recorrer e não perderá todos os dados do seu dispositivo. Se possível, recorra a backups duplos. O preço dos discos externos já o permite.
• Uma das melhores formas de evitar o download involuntário de malware é utilizar a Proteção Contra Ameaças da NordVPN. Esta funcionalidade verifica todos os ficheiros que descarrega da Internet – se detetar algum malware oculto, o ficheiro será eliminado automaticamente.
• Tenha atenção a uma recomendação especial do CNCS: não ative macros de ficheiros que não reconheça e desconfie de e-mails que transmitam um sentido de urgência e o incentivem (“JÁ!”) a descarregar ficheiros anexados ou a clicar em ligações presentes na mensagem. Se receber um e-mail deste género, denuncie-o ao CERT.PT, no endereço cert@cert.pt.