As autoridades europeias usaram uma biblioteca de vínculo dinâmico (DLL) do Windows para eliminar automaticamente o malware Emotet de milhares de computadores infectados.
O Emotet é um dos botnets mais famosos do mundo, uma rede de computadores e dispositivos sequestrados e infectados com malware e controlados remotamente por cibercriminosos.
Esse tipo de rede é frequentemente usada para enviar spams e lançar ataques de negação de serviço distribuída (DDoS). Ela também é comercializada entre criminosos cibernéticos.
Autoridades europeias criaram uma espécie de bomba-relógio especialmente para autodestruir este software malicioso no domingo, 25 de abril de 2021.
- Leia também: EUA derrubam a maior botnet do mundo "911 S5"
O código foi distribuído aos computadores infectados pelo Emotet no final de janeiro usando a própria infraestrutura de comando e controle (C2) do malware, que foi apreendida em uma operação policial envolvendo vários países.
A atualização continha uma rotina de limpeza responsável por desinstalar o Emotet dos computadores infectados até 25 de abril.
A operação global foi anunciada pela Europol em um comunicado de imprensa em 27 de janeiro para derrubar o botnet. Para interromper severamente a infraestrutura EMOTET, as autoridades policiais se uniram para criar uma estratégia operacional eficaz.
Isso resultou na ação desta semana em que as autoridades policiais e judiciais obtiveram o controle da infraestrutura e a retiraram de dentro.
- Leia também: Quase 10 milhões de telefones Android foram infectados por malware da Huawei AppGallery
"As máquinas infectadas das vítimas foram redirecionadas para esta infraestrutura controlada pela aplicação da lei. Esta é uma abordagem única e nova para interromper efetivamente as atividades dos facilitadores do crime cibernético.", disse a Europol.
Mariya Grozdanova, analista de inteligência de ameaças da Redscan, explicou o código de desinstalação das autoridades ao The Register.
"O EmotetLoader.dll é uma DLL de 32 bits responsável por remover o malware de todos os computadores infectados. Isso garantirá que todos os serviços relacionados ao Emotet sejam excluídos, a chave de execução no registro do Windows seja removida de modo que nenhum outro módulo do Emotet seja iniciado automaticamente e todos os processos do Emotet em execução sejam encerrados.", disse Grozdanova.
O processo de limpeza foi confirmado pela empresa de segurança cibernética Malwarebytes no domingo, que recebeu o arquivo especial de aplicação da lei para sua máquina infectada com Emotet que removeu completamente o malware do sistema Windows.
"A versão com o desinstalador agora é enviada por meio de canais destinados a distribuir o Emotet original", disse a equipe do Malwarebytes Threat Intelligence.
"Para as vítimas com uma infecção existente do Emotet, a nova versão virá como uma atualização, substituindo a anterior. Assim saberá quais são seus caminhos de instalação e poderá se limpar assim que o prazo terminar.", acrescentou.
Da mesma forma, o site de rastreamento de Malware Abuse.ch também confirmou a remoção bem-sucedida do malware. Seu portal Emotet mostrou que nenhum dos servidores Emotet C2 que rastreia estava online.
A ação das agências de aplicação da lei para remover o botnet Emotet é um grande golpe para os cibercriminosos e hackers.
No entanto, é possível que esses botnets se recuperem da mesma forma ou em alguma outra nova variante ainda mais independente.
"Historicamente, os operadores da Emotet usavam longas pausas na atividade para melhorar seu malware. Isso significa que há uma possibilidade realista de que os operadores da Emotet usem essa oportunidade para tornar o malware carregador ainda mais resiliente, por exemplo, usando técnicas polimórficas para conter ações coordenadas futuras. Eles também poderiam usar o código-fonte Emotet para se ramificar e criar menores, botnets independente", disse os pesquisadores da Redscan.
Via: Europol
