[ad_1]
O botnet Emotet agora usa arquivos de atalho do Windows (.LNK) contendo comandos do PowerShell para infectar os computadores das vítimas, afastando-se das macros do Microsoft Office que agora estão desabilitadas por padrão.
O uso de arquivos .LNK não é novo, pois a gangue Emotet os usava anteriormente em combinação com o código Visual Basic Script (VBS) para criar um comando que baixa a carga útil. No entanto, esta é a primeira vez que eles usam atalhos do Windows para executar comandos do PowerShell diretamente.
Nova técnica após campanha fracassada
Na última sexta-feira, os operadores do Emotet colocaram uma campanha de phishing offline porque falharam no instalador depois de usar um nome de arquivo estático para fazer referência ao atalho .LNK malicioso.
Iniciar o atalho acionaria um comando que extrairia uma sequência de código VBS e a adicionaria a um arquivo VBS para execução.
No entanto, como os arquivos de atalho distribuídos tinham um nome diferente do estático que estavam procurando, o arquivo VBS não pôde ser criado com êxito. A turma resolveu o problema ontem.
Hoje, pesquisadores de segurança notaram que o Emotet mudou para uma nova técnica que usa comandos do PowerShell anexados ao arquivo LNK para baixar e executar um script no computador infectado.
A string maliciosa adicionada ao arquivo .LNK é ofuscada e preenchida com nulos (em branco) para que não apareça no campo de destino (o arquivo apontado pelo atalho) da caixa de diálogo de propriedades do arquivo.
O arquivo .LNK malicioso do Emotet inclui URLs de vários sites comprometidos que são usados para armazenar a carga útil do script do PowerShell. Se o script estiver presente em um dos locais definidos, ele será baixado para a pasta temporária do sistema como um script do PowerShell com um nome aleatório.
Abaixo está a versão desofuscada da string maliciosa Emotet anexada à carga .LNK:
Esse script gera e executa outro script do PowerShell que baixa o malware Emotet de uma lista de sites comprometidos e o salva na pasta %Temp%. A DLL baixada é então executada com o comando regsvr32.exe.
A execução do script do PowerShell é realizada pelo utilitário de linha de comando Regsvr32.exe e termina com o download e a execução do malware Emotet.
pesquisador de segurança Max Malyutin diz que, juntamente com o uso do PowerShell em arquivos LNK, esse fluxo de execução é novo na implementação do malware Emotet.
Nova técnica em alta
O grupo de pesquisa Cryptolaemus, que está monitorando de perto a atividade do Emotet, observa que a nova técnica é uma tentativa clara do agente da ameaça de contornar a detecção e as defesas automáticas.
Pesquisadores de segurança da empresa de segurança cibernética ESET também notaram que o uso da nova técnica Emotet aumentou nas últimas 24 horas.
Os dados de telemetria da ESET mostram que os países mais afetados pelo Emotet através da nova técnica são México, Itália, Japão, Turquia e Canadá.
Além de mudar para o PowerShell em arquivos .LNK, os operadores de botnet Emotet fizeram algumas outras alterações desde que retomaram a atividade em níveis mais estáveis em novembro, como a mudança para módulos de 64 bits.
O malware é frequentemente usado como gateway para outros malwares, principalmente ameaças de ransomware como o Conti.
[ad_2]
