HomePtNotíciaMalware Emotet agora é instalado via PowerShell para arquivos de atalho do...

Malware Emotet agora é instalado via PowerShell para arquivos de atalho do Windows


O botnet Emotet agora usa arquivos de atalho do Windows (.LNK) contendo comandos do PowerShell para infectar os computadores das vítimas, afastando-se das macros do Microsoft Office que agora estão desabilitadas por padrão.

O uso de arquivos .LNK não é novo, pois a gangue Emotet os usava anteriormente em combinação com o código Visual Basic Script (VBS) para criar um comando que baixa a carga útil. No entanto, esta é a primeira vez que eles usam atalhos do Windows para executar comandos do PowerShell diretamente.

Nova técnica após campanha fracassada

Na última sexta-feira, os operadores do Emotet colocaram uma campanha de phishing offline porque falharam no instalador depois de usar um nome de arquivo estático para fazer referência ao atalho .LNK malicioso.

Iniciar o atalho acionaria um comando que extrairia uma sequência de código VBS e a adicionaria a um arquivo VBS para execução.

No entanto, como os arquivos de atalho distribuídos tinham um nome diferente do estático que estavam procurando, o arquivo VBS não pôde ser criado com êxito. A turma resolveu o problema ontem.

Hoje, pesquisadores de segurança notaram que o Emotet mudou para uma nova técnica que usa comandos do PowerShell anexados ao arquivo LNK para baixar e executar um script no computador infectado.

A string maliciosa adicionada ao arquivo .LNK é ofuscada e preenchida com nulos (em branco) para que não apareça no campo de destino (o arquivo apontado pelo atalho) da caixa de diálogo de propriedades do arquivo.

Emotet usando o PowerShell em arquivos LNK
fonte: BleepingComputer

O arquivo .LNK malicioso do Emotet inclui URLs de vários sites comprometidos que são usados ​​para armazenar a carga útil do script do PowerShell. Se o script estiver presente em um dos locais definidos, ele será baixado para a pasta temporária do sistema como um script do PowerShell com um nome aleatório.

Abaixo está a versão desofuscada da string maliciosa Emotet anexada à carga .LNK:

Cadeia de Emotet malicioso com comandos do PowerShell anexados ao arquivo LNK
fonte: BleepingComputer

Esse script gera e executa outro script do PowerShell que baixa o malware Emotet de uma lista de sites comprometidos e o salva na pasta %Temp%. A DLL baixada é então executada com o comando regsvr32.exe.

A execução do script do PowerShell é realizada pelo utilitário de linha de comando Regsvr32.exe e termina com o download e a execução do malware Emotet.

pesquisador de segurança Max Malyutin