Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/emotet-malware-attacks-return-after-three-month-break/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #ataques #de #malware #emotet #retornam #após #pausa #de #três #meses
A operação de malware Emotet está novamente enviando e-mails maliciosos na manhã de terça-feira, após uma pausa de três meses, reconstruindo sua rede e infectando dispositivos em todo o mundo.
O Emotet é um malware notório distribuído por e-mail contendo anexos maliciosos de documentos do Microsoft Word e Excel. Quando os usuários abrem esses documentos e as macros são ativadas, o Emotet DLL é baixado e carregado na memória.
Assim que o Emotet for carregado, o malware ficará quieto, aguardando instruções de um comando remoto e servidor de controle.
Eventualmente, o malware roubará e-mails e contatos das vítimas para uso em futuras campanhas do Emotet ou baixará cargas adicionais, como Cobalt Strike ou outro malware que geralmente leva a ataques de ransomware.
Embora o Emotet tenha sido considerado o malware mais distribuído no passado, ele desacelerou gradualmente, com sua última operação de spam vista em novembro de 2022. No entanto, mesmo assim, o spam durou apenas duas semanas.
Emotet retorna em 2023
Hoje, a empresa de segurança cibernética Cofense e o grupo de rastreamento Emotet Cryptolaemus alertaram que o botnet Emotet voltou a enviar e-mails.
"A partir de 1200UTC, Ivan finalmente conseguiu E4 para enviar spam. Estamos vendo modelos do Red Dawn que são muito grandes chegando a mais de 500 MB. Atualmente, vendo um fluxo decente de spam. Septeto de URLs de carga útil e macros feias", twittou Cryptolaemus.
A Cofense também confirmou ao BleepingComputer que a campanha de spam começou às 7:00 AM ET, com os volumes atuais permanecendo baixos.
"O primeiro e-mail que vimos foi por volta das 7h EST. O volume permanece baixo neste momento, enquanto eles continuam a reconstruir e reunir novas credenciais para alavancar e agendar endereços", disse Cofense ao BleepingComputer.
Em vez de usar e-mails de cadeia de resposta como na campanha anterior, os agentes de ameaças estão usando e-mails que fingem ser faturas, conforme mostrado abaixo.
E-mail de phishing EmotetFonte: Cofense
Anexados a esses e-mails estão arquivos ZIP contendo documentos do Word inflados com mais de 500 MB de tamanho. Eles estão inchados para tornar mais difícil para as soluções antivírus escaneá-los e detectá-los como maliciosos.
Esses documentos do Microsoft Word usam o modelo de documento 'Red Dawn' do Emotet, solicitando que os usuários habilitem o conteúdo do documento para vê-lo corretamente.
Documento malicioso do Microsoft Word usando o modelo Red Dawn Fonte: BleepingComputer
Esses documentos contêm uma confusão de macros que farão o download do carregador Emotet como uma DLL de sites comprometidos, muitos dos quais são blogs WordPress hackeados.
Uma confusão de macros maliciosas em um documento Emotet WordSource: BleepingComputer
Quando baixado, o Emotet será salvo em uma pasta de nome aleatório em %LocalAppData% e iniciado usando regsvr32.exe.
Carregador Emotet lançado por Regsvr32.exeFonte: BleepingComputer
Como o documento do Word, o Emotet DLL foi aumentado para 526 MB para impedir a capacidade de detectá-lo como malicioso pelo software antivírus.
Essa técnica de evasão mostra sucesso, conforme ilustrado em uma varredura VirusTotal em que o malware é detectado apenas por um fornecedor de segurança de 64 mecanismos, com esse fornecedor detectando apenas que estava inchado.
DLL do Emotet inchado para evitar a detecçãoFonte: BleepingComputer
Depois de executado, o malware será executado em segundo plano, aguardando comandos, que provavelmente instalarão mais cargas úteis no dispositivo
As cargas úteis permitem que outros agentes de ameaças acessem remotamente o dispositivo, que é usado para se espalhar ainda mais na rede comprometida.
Esses ataques geralmente levam ao roubo de dados e ataques completos de ransomware em redes violadas.
A Cofense diz que não viu nenhuma carga adicional sendo descartada agora, e o malware está apenas coletando dados para futuras campanhas de spam.
Alterações recentes da Microsoft salvam o dia
Enquanto o Emotet está reconstruindo sua rede, o método atual pode não ter muito sucesso após as recentes alterações da Microsoft.
Em julho de 2022, a Microsoft finalmente desativou as macros por padrão em documentos do Microsoft Office baixados da Internet.
Devido a essa alteração, os usuários que abrirem um documento Emotet serão recebidos com uma mensagem informando que as macros estão desativadas porque a origem do arquivo não é confiável.
Macros desabilitadas por padrão no Microsoft OfficeSource: BleepingComputer
O analista sênior de vulnerabilidades da ANALYGENCE, Will Dormann, disse ao BleepingComputer que essa mudança também afeta anexos salvos de e-mails.
Para a maioria dos usuários que recebem e-mails do Emotet, esse recurso provavelmente os protegerá de ativar macros por engano, a menos que façam um esforço conjunto para ativá-los.
Essa mudança levou outros invasores a se afastarem dos documentos do Word e do Excel e abusarem de outros formatos de arquivo, como Microsoft OneNote, imagens ISO e arquivos JS.
Não seria surpreendente ver o Emotet também mudar para diferentes tipos de anexos depois que essa campanha inicial não saiu como planejado.
Postar um comentário