Curiosidades
O retorno do Botnet Emotet
Brasiline
3 de novembro de 2022

A operação de malware Emotet está novamente enviando e-mails maliciosos após quase cinco meses de "férias" que viram pouca atividade da notória operação de cibercrime.

O Emotet é uma infecção por malware distribuída por meio de campanhas de phishing contendo documentos maliciosos do Excel ou Word. Quando os usuários abrem esses documentos e habilitam macros, a DLL Emotet será baixada e carregada na memória.

Uma vez carregado, o malware pesquisará e roubará e-mails para usar em futuras campanhas de spam e descartará cargas adicionais, como Cobalt Strike ou outro malware que geralmente leva a ataques de ransomware.

Embora o Emotet tenha sido considerado o malware mais distribuído no passado, ele parou de enviar spam de repente em 13 de junho de 2022.

O retorno do Emotet 

Pesquisadores do grupo de pesquisa Emotet Cryptolaemus relataram que no dia 2 de novembro, a operação Emotet de repente voltou à vida, enviando spam para endereços de e-mail em todo o mundo.

Especialistas disseram que as campanhas de e-mail do Emotet de hoje estão usando cadeias de resposta de e-mail roubadas para distribuir anexos maliciosos do Excel.

Uma lista parcial de nomes de arquivos de exemplo pode ser vista abaixo:

A campanha do Emotet de hoje também apresenta um novo modelo de anexo do Excel que contém instruções para contornar o Modo de Exibição Protegido da Microsoft.

Quando um arquivo é baixado da Internet, inclusive como anexo de e-mail, a Microsoft adiciona um sinalizador especial Mark-of-the-Web (MoTW) ao arquivo.

Quando um usuário abre um documento do Microsoft Office contendo um sinalizador MoTW, o Microsoft Office o abre no Modo de Exibição Protegido, impedindo que macros que instalam malware sejam executadas.

No entanto, no novo anexo do Emotet Excel, você pode ver que os agentes de ameaças estão instruindo os usuários a copiar o arquivo para as pastas 'Modelos' confiáveis, pois isso ignorará o Modo de Exibição Protegido do Microsoft Office, mesmo para arquivos contendo um sinalizador MoTW.

Embora o Windows avise os usuários que copiar um arquivo para a pasta 'Modelos' requer permissões de 'administradores', o fato de um usuário estar tentando copiar o arquivo indica que há uma boa chance de que ele também pressione o botão 'Continuar'.

Quando o anexo é iniciado a partir da pasta 'Modelos', ele simplesmente abre e executa imediatamente as macros que baixam o malware Emotet.

O malware Emotet é baixado como uma DLL em várias pastas com nomes aleatórios em %UserProfile%\AppData\Local, conforme mostrado abaixo.

As macros iniciarão a DLL usando o comando regsvr32.exe legítimo.

Uma vez baixado, o malware será executado silenciosamente em segundo plano enquanto se conecta ao servidor de Comando e Controle para obter mais instruções ou para instalar cargas adicionais.

No passado, o Emotet era conhecido por instalar o malware TrickBot e, mais recentemente, os beacons Cobalt Strike . Esses beacons Cobalt Strike são usados ​​para acesso inicial por gangues de ransomware que se espalham lateralmente na rede, roubam dados e, por fim, criptografam dispositivos.

As infecções por Emotet foram usadas no passado para dar às gangues de ransomware Ryuk e Conti acesso inicial às redes corporativas. Desde o desligamento da Conti em junho , o Emotet foi visto em parceria com as operações de ransomware BlackCat e Quantum para acesso inicial em dispositivos já infectados.

Fonte

Sobre a Brasiline

A Brasiline construiu, em mais de 19 anos de mercado, uma equipe que é referência no setor, sempre investindo na qualificação dos profissionais e na implantação de soluções eficazes, baseadas nas melhores práticas de projetos e processos. Chamamos esse nosso time de Experts Brasiline.

Uma equipe de profissionais com ampla experiência no mercado de TI cibersegurança e missão crítica, com objetivo de prestar uma consultoria criteriosa, avaliando as reais necessidades do cliente e sugerir a melhor alternativa.

Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas. Assim, sua empresa pode focar no que realmente interessa: no seu core business. Conte com nossos Experts e garanta para sua operação um suporte técnico ágil e eficiente.

Conheça nossos cases de sucesso
Entre em contato conosco

Mais Recentes
2ª Edição do Cyber Day em Joinville: Segurança Inteligente para um Mundo Multicloud
Brasiline
10 de dezembro de 2024
No dia 05 de dezembro de 2024, Joinville/SC foi palco da 2ª Edição do Cyber Day, um evento exclusivo dedicado […]
Brasiline oferece solução para evitar ataques de phishing
Brasiline
9 de dezembro de 2024
Especialista da Brasiline avalia que a prática de phishing é uma das maiores ameaças à segurança dos negócios e explica […]
Cibersegurança, 
Infraestrutura e Cloud. 
Este é o nosso negócio!
Para saber mais sobre os produtos e serviços Brasiline, fale com um de nossos consultores
© Copyright 2024 Brasiline Tecnologia - Desenvolvido por Skyflare - Política de Privacidade | Termos de Serviço
Cadastre-se e fale com um especialista via WhatsApp!
calendar-fullcross
Como podemos te ajudar?