07
Jul 2022
Alerta de Ameaça - EMOTET
TIPO
Código Malicioso
SISTEMAS AFETADOS
Microsoft Windows
ECOSSISTEMA
Microsoft
Descrição
O CNCS tem registado um aumento no envio de e-mails contendo código malicioso da família Emotet.
Estes e-mails são, ou fingem ser, enviados de endereços conhecidos pelos recetores, podendo surgir como resposta a conversas anteriores. Este código malicioso caracteriza-se por enviar e-mails dissimulados para a lista de contactos das vítimas.
- Recomenda-se maior atenção aos anexos recebidos e aos links maliciosos presentes no e-mail.
Note-se que existe prevalência na utilização de pastas comprimidas (ficheiros zip) protegidas com palavra-passe (regra geral, presente no corpo do e-mail), contendo os ficheiros maliciosos.
- Desconfie de mensagens com sentido de urgência que pedem para descarregar ficheiros ou para clicar em hiperligações.
Às entidades:
É aconselhável a configuração dos dispositivos de segurança perimétrica para bloquear os endereços IP de C2 associados a este fenómeno presentes nesta lista: https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt.
Esta lista é renovada de 5 em 5 minutos, pelo que será desejável manter a listagem local atualizada.
Para identificar eventuais comprometimentos no passado, recomenda-se a utilização desta lista https://feodotracker.abuse.ch/downloads/ipblocklist.txt. Aqui encontram-se os endereços IP maliciosos que estiveram ativos no último mês, mas que poderão já ter sido desativados. Os IPs presentes nesta lista devem ser procurados nos logs de firewall, webproxy, netflows e outros.
Para identificar eventuais comprometimentos no passado, recomenda-se a utilização desta lista https://feodotracker.abuse.ch/downloads/ipblocklist.txt. Aqui encontram-se os endereços IP maliciosos que estiveram ativos no último mês, mas que poderão já ter sido desativados. Os IPs presentes nesta lista devem ser procurados nos logs de firewall, webproxy, netflows e outros.
Se surgir alguma dúvida não hesite em contactar o CERT.PT através do endereço cert@cert.pt.