O malware Emotet está de volta em campanhas ativas, pesquisadores de segurança alertaram. Pelo visto, o malware está escondido em documentos em mensagens de spam que fingem ser enviado a partir de instituições financeiras, ou disfarçou como saudações de graças para os funcionários.
A última vez que escrevemos sobre Emotet foi há um ano, em novembro 2017, quando o Trojan bancário foi atualizado para incluir um componente perigoso que causou sérias preocupações entre a comunidade de segurança – extração de dados mesmo em conexões seguras.
Os arquivos podem ser facilmente enviados usando os métodos de infecção mais populares. Os novos ataques relatados mais uma vez provam que [wplinkpreview url =”https://sensorstechforum.com/emotet-trojan-affects-internal-networks/”]Emotet continua sendo uma das cargas úteis mais populares, e que seus operadores estão sempre procurando por novos métodos de infecção.
Nova funcionalidade de phishing da Emotet
O malware Emotet tornou-se ativo no final de outubro deste ano. É quando um novo plug-in que exfiltrava assuntos de e-mail e 16 KB dos corpos de e-mail foi detectado. Esta funcionalidade é usada atualmente para melhorar os modelos de phishing.
Golpe de Phishing de Ação de Graças
Pesquisadores Forcepoint detectou um e-mail cuidadosamente elaborado que incluía “algumas palavras alegres de Ação de Graças”. Como reportado, este e-mail viu volumes excedendo 27,000 no período entre 07.30 É e 17:00 EST em um único dia. Isso é o que diz o corpo do e-mail:
Oi,
Nesta época de agradecimento, nós somos especialmente gratos a você, que trabalharam tanto para construir e criar o sucesso de nossa empresa. Desejando a você e sua família um Dia de Ação de Graças cheio de bênçãos.
Cartão do Dia de Ação de Graças abaixo.
O documento no e-mail era na verdade um arquivo XML fingindo ser um arquivo .doc. Esperava-se que tivesse macros incorporadas levando a um downloader do PowerShell para a carga útil do Emotet. Contudo, deve-se notar que:
o documento, neste caso, não é o .doc ou .docx usual, mas sim um arquivo XML disfarçado de .doc, e a macro, neste caso, usa o recurso Shapes, em última análise, levando à chamada da função shell usando um WindowStyle de vbHide. A sintaxe para a função shell é Shell( nome do caminho, [ estilo de janela ] ) onde o nome do caminho pode ser um programa ou script.
A saída resultante é um comando fortemente ofuscado. Quando desobfuccado, o comando revelou o downloader padrão do PowerShell rotineiramente observado em campanhas Emotet, os pesquisadores acrescentaram.