Malware Bancário Emotet no Brasil – Atualização

Nosso sistema de monitoramento avançado persistente já havia detectado publicações anteriores (09/03) em site de compartilhamento de texto que indicaram que páginas brasileiras estão distribuindo o trojan bancário conhecido como Emotet.

Em novos registros coletados, verificou-se 149 URL de domínios “.br” que fazem parte da infraestrutura do Emotet. Isso representa 3,25% do total de 4.569 URL que foram identificadas.

Entre os domínios brasileiros, dois estão vinculados a entidades públicas:

  1. SAAE – Serviço Autônomo de Saneamento Básico de Itabrito (Minas Gerais) – URL: http://www.saaeita.mg.gov.br/Rechnungsanschrift-korrigiert/
  2. Conservatório Pernambucano de Música – URL: http://conservatorio.pe.gov.br/Mar-15-09-25-02/Express-Domestic/

Em ambos os casos a finalidade do arquivo encontrado nas páginas de governo é a distribuição de artefatos infectados. Mandamos os malwares para análise no site VirusTotal.com e apresentaram taxa de detecção de 4/67 e de 5/68 antivírus. Veja aqui o relatório do SAAE Itabrito e aqui o do Conservatório Pernambucano.

O Brasil não é o único país que possui infraestrutura governamental sendo utilizada para finalidade maliciosa. Foram identificadas domínios de Argentina, Bangladesh, Hungria, Samoa Ocidental e Sri Lanka.

  • http://www.deportes.sanluis.gov.ar/wp-content/languages/Overdue-payment/
  • http://unomagurasadar.gov.bd/2p0q2HL/
  • http://szombathely.jaras.gov.hu/Outstanding-Invoices/
  • http://www.coastguard.gov.lk/assets/Outstanding-INVOICE-HIY/9958117/164/
  • http://www.revenue.gov.ws/Sales-Invoice/