O Netskope Threat Labs identificou neste mês uma nova campanha que figura o retorno do Emotet, após mais um breve hiato. A botnet voltou a ativa com um novo diferencial: a utilização de uma técnica conhecida como “Binary Padding”, que consiste em aumentar significativamente o tamanho do malware para evadir soluções de segurança que não escaneiam arquivos grandes.
Embora a operação do Emotet tenha sido interrompida pela Europol em janeiro de 2021, o malware voltou alguns meses depois e continua a se espalhar. Em maio de 2022, logo após a Microsoft lançar novos controles relacionados a macros maliciosos, o Netskope Threat Labs analisou uma campanha do Emotet na qual estava em teste um novo método de entrega do malware, usando arquivos LNK.
Em junho de 2022, os mesmos especialistas encontraram outra campanha na qual o Emotet continuou a usar arquivos do Microsoft Office para distribuir suas cargas úteis. Até hoje o Emotet continua utilizando arquivos Microsoft Office para infectar usuários, conforme detectado nesta campanha de março de 2023. Uma outra campanha identificada no mesmo mês também aponta que o Emotet está utilizando arquivos Microsoft OneNote para infectar usuários.
Segundo Gustavo Palazolo, engenheiro de Pesquisa de Ameaças na Netskope, “ao contrário do que muitos pensam, o Emotet não vai deixar de existir tão cedo – esta é, sem dúvida, uma operação muito resiliente”. Nessa técnica chamada de Binary Padding, bytes extras são adicionados ao final do arquivo, o que não o corrompe e aumenta o seu tamanho. Com isso, explica o executivo, “os atacantes muitas vezes obtém sucesso para burlar soluções de segurança que não realizam o scan de arquivos grandes”.
A Netskope recomenda o bloqueio de arquivos grandes de fontes não confiáveis como, por exemplo, documentos do Microsoft Office e no formato Portable Executable (PE) acima de 400 MB.
