Os criadores fizeram um esforço significativo para que o trojan passasse desapercebido: eles não atacaram usuários na zona RU mas elegeram como alvo os clientes de um pequeno número de bancos alemães e austríacos (outros Trojans bancários conhecidos são menos exigentes na sua escolha de destino), e o nome de domínio do servidor ATS foi modificado frequentemente (uma ou várias vezes por dia). Assim, os pesquisadores passaram a se referir a esta modificação como Emotet versão 2. O bot contém e transfere os números um e sete para o server de comando e controle (C & C), o que sugere que os autores do cavalo de Tróia consideram esta variante como a a versão 1.7. Lembrando que ambas as versões do Trojan atacaram clientes de bancos alemães e austríacos. Em função das atividades do trojan, foi monitorada de perto a versão 2 do Emotet. Em Dezembro de 2014, a praga cessou suas atividades e os servidores de comando e controle pararam de responder aos computadores infectados. Dessa maneira, foi possível gravar o último comando enviado a partir dos centros de comando no dia 10/12/2014, as 11:33:43, horário de Moscou.
Modificações Apresentadas por Emotet
No entanto, o rigor com o qual os autores do trojan haviam abordado o desenvolvimento deste, e do elevado nível de automação em sua operação, deixou poucas dúvidas de que este não era o fim da história. E assim foi - depois de uma pequena pausa ocorrida em janeiro de 2015, Emotet reapareceu! Sendo assim, esta modificação está sendo chamada de versão 3 (o bot contém e transfere os números um e 16 da C & C, que de acordo com suposições, significa que os autores consideram esta variante ser a versão 1.16). Em essência, Emotet versão 3 não é muito diferente da versão 2 - as principais diferenças são projetadas para tornar o trojan menos visível. Das mudanças que foram observadas, é interessante de destacar as seguintes: o cavalo de Tróia tem uma nova chave pública embutido (RSA) e embora os protocolos de comunicação com o centro de comando sejam idênticas para as versões Emotet 2 e 3, se a old key for utilizada o bot não recebe a resposta correta do centro de comando e controle. Os scripts de ATS são parcialmente limpos de informações de depuração e comentários. Além do mais, Emotet agora também é destinado a clientes de bancos suíços.
Houve uma ligeira mudança na tecnologia usada para injetar código no espaço de endereço de explorer.exe. A versão 2 usou um modelo clássico para a injeção de código: OpenProcess + WriteProcessMemeory + CreateRemoteThread. A versão 3 utiliza apenas duas etapas do modelo anterior: OpenProcess + WriteProcessMemory; e o código injectado é iniciado com a ajuda do código modificado da função ZwClose no espaço de endereço do processo explorer.exe, que também é conseguido usando WriteProcessMemory. Outro ponto importante a ser enfatizado é que Emotet versão 3 resiste a investigação: o Trojan detecta se ele foi iniciado em uma máquina virtual que funciona como de costume, mas usa uma lista de endereços diferente para os centros de comando. No entanto, todos estes endereços são falsos e são utilizados apenas para enganar os investigadores. Além disso, o Trojan contém muito poucas linhas de texto: todas as linhas que poderiam advertir os investigadores estão criptografadas usando RC4 e são decifradas em memória alocada diretamente antes de usar e ser excluído após o uso.
Nesse contexto, alguns produtos da Kaspersky Lab são capazes de detectar todas as versões deste Trojan como Trojan-Banker.Win32.Emotet. E assim, os pesquisadores também detectam o seguinte Emotet modulesof:
- Módulo para modificar o tráfego HTTP (S) - Trojan-Banker.Win32.Emotet.
- Módulo Spam - Trojan.Win32.Emospam.
- Módulo para a coleta de endereços de e-mail - Trojan.Win32.Emograbber.
- Módulo para roubar dados de contas de e-mail - Trojan-PSW.Win32.Emostealer.
- Módulo projetado para organizar ataques DDoS - Trojan.Win32.ServStart.
Carregando o Trojan
O arquivo Trojan é embalado por um cryptor, e o objetivo principal é o de evitar a detecção por programas anti-vírus. Depois de ser iniciado e processado pelo cryptor, o controle é passado para o módulo principal Emotet - o carregador. Isto precisa incorporar-se ao sistema, ter ligação com o servidor de comando, baixar módulos adicionais e, em seguida, executá-los. Consolidação no sistema é bastante normal - Emotet versão 2 economiza-se em %APPDATA%\Identities com um nome aleatório de oito caracteres (por exemplo - wlyqvago.exe); adiciona-se ao autoloader (HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run) e exclui seu arquivo de origem com a ajuda de um arquivo bat lançado que é criado em %APPDATA% com o nome de "ms [7_random_numbers] .bat. Além do mais, Emotet versão 3 salva-se em % APPDATA%\Microsoft\ com um nome no formato msdb%x.exe" (por exemplo - C:\ Documents and Settings\Administrador\ Application Data\Microsoft\msdbfe1b033.exe); acrescenta-se ao autoloader (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run) e depois apaga-se com a ajuda de um arquivo bat lançado (que é criado em %APPDATA%\del%x.bat).Saiba Mais:
[1] SecureList https://securelist.com/analysis/6956...iled-analysis/