A operação de malware Emotet está novamente enviando e-mails maliciosos após quase cinco meses de "férias" que viram pouca atividade da notória operação de cibercrime.
O Emotet é uma infecção por malware distribuída por meio de campanhas de phishing contendo documentos maliciosos do Excel ou Word. Quando os usuários abrem esses documentos e habilitam macros, a DLL Emotet será baixada e carregada na memória.
Uma vez carregado, o malware pesquisará e roubará e-mails para usar em futuras campanhas de spam e descartará cargas adicionais, como Cobalt Strike ou outro malware que geralmente leva a ataques de ransomware.
Embora o Emotet tenha sido considerado o malware mais distribuído no passado, ele parou de enviar spam de repente em 13 de junho de 2022.
Pesquisadores do grupo de pesquisa Emotet Cryptolaemus relataram que no dia 2 de novembro, a operação Emotet de repente voltou à vida, enviando spam para endereços de e-mail em todo o mundo.
Especialistas disseram que as campanhas de e-mail do Emotet de hoje estão usando cadeias de resposta de e-mail roubadas para distribuir anexos maliciosos do Excel.
Uma lista parcial de nomes de arquivos de exemplo pode ser vista abaixo:
A campanha do Emotet de hoje também apresenta um novo modelo de anexo do Excel que contém instruções para contornar o Modo de Exibição Protegido da Microsoft.
Quando um arquivo é baixado da Internet, inclusive como anexo de e-mail, a Microsoft adiciona um sinalizador especial Mark-of-the-Web (MoTW) ao arquivo.
Quando um usuário abre um documento do Microsoft Office contendo um sinalizador MoTW, o Microsoft Office o abre no Modo de Exibição Protegido, impedindo que macros que instalam malware sejam executadas.
No entanto, no novo anexo do Emotet Excel, você pode ver que os agentes de ameaças estão instruindo os usuários a copiar o arquivo para as pastas 'Modelos' confiáveis, pois isso ignorará o Modo de Exibição Protegido do Microsoft Office, mesmo para arquivos contendo um sinalizador MoTW.
Embora o Windows avise os usuários que copiar um arquivo para a pasta 'Modelos' requer permissões de 'administradores', o fato de um usuário estar tentando copiar o arquivo indica que há uma boa chance de que ele também pressione o botão 'Continuar'.
Quando o anexo é iniciado a partir da pasta 'Modelos', ele simplesmente abre e executa imediatamente as macros que baixam o malware Emotet.
O malware Emotet é baixado como uma DLL em várias pastas com nomes aleatórios em %UserProfile%\AppData\Local, conforme mostrado abaixo.
As macros iniciarão a DLL usando o comando regsvr32.exe legítimo.
Uma vez baixado, o malware será executado silenciosamente em segundo plano enquanto se conecta ao servidor de Comando e Controle para obter mais instruções ou para instalar cargas adicionais.
No passado, o Emotet era conhecido por instalar o malware TrickBot e, mais recentemente, os beacons Cobalt Strike . Esses beacons Cobalt Strike são usados para acesso inicial por gangues de ransomware que se espalham lateralmente na rede, roubam dados e, por fim, criptografam dispositivos.
As infecções por Emotet foram usadas no passado para dar às gangues de ransomware Ryuk e Conti acesso inicial às redes corporativas. Desde o desligamento da Conti em junho , o Emotet foi visto em parceria com as operações de ransomware BlackCat e Quantum para acesso inicial em dispositivos já infectados.
A Brasiline construiu, em mais de 19 anos de mercado, uma equipe que é referência no setor, sempre investindo na qualificação dos profissionais e na implantação de soluções eficazes, baseadas nas melhores práticas de projetos e processos. Chamamos esse nosso time de Experts Brasiline.
Uma equipe de profissionais com ampla experiência no mercado de TI cibersegurança e missão crítica, com objetivo de prestar uma consultoria criteriosa, avaliando as reais necessidades do cliente e sugerir a melhor alternativa.
Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas. Assim, sua empresa pode focar no que realmente interessa: no seu core business. Conte com nossos Experts e garanta para sua operação um suporte técnico ágil e eficiente.