Um hacker vigilante desconhecido vem sabotando as operações da botnet Emotet. Segundo o ZDNet, o malware foi recentemente revivido, mas o hacker está substituindo suas cargas úteis por GIFs animados, impedindo efetivamente as vítimas de serem infectadas.
A botnet funciona enviando aos alvos um spam, via e-mail, com um documento mal-intencionado do office ou um link para um arquivo mal-intencionado que os usuários precisam baixar. Quando os usuários abrem um desses arquivos ou clicam nos links dentro do arquivo e ativam o recurso "Ativar edição" para permitir a execução de macros (scripts automatizados), eles baixam o malware Emotet e vários de seus componentes da Internet.
Os componentes de malwares ficam em "sites WordPress invadidos" controlados via web shells. Mas a gangue Emotet usa scripts de código-fonte aberto e também emprega a mesma senha para todos os seus shells da web, expondo sua infraestrutura a ataques fáceis, se alguém adivinhar a senha. Assim, após mais de cinco meses em silêncio, o Emotet voltou à vida na semana passada, e um vigilante desconhecido parece ter descoberto essa senha comum e sabotado o retorno.
Quando as vítimas do Emotet abrem os arquivos maliciosos do Office, elas não são infectadas, pois o malware não será baixado e executado em seus sistemas, mas sim um GIF animado. Cerca de um quarto de todos os links diários de carga útil do Emotet estão sendo substituídos por GIFs. Veja alguns exemplos:
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.