[ad_1]
A campanha de phishing do malware Emotet está em execução novamente depois que os agentes de ameaças corrigiram um bug que impedia que as pessoas fossem infectadas ao abrir anexos de e-mail maliciosos.
Emotet é uma infecção por malware distribuída por meio de campanhas de spam com anexos maliciosos. Se um usuário abrir o anexo, macros ou scripts maliciosos baixarão a DLL Emotet e a carregarão na memória.
Uma vez carregado, o malware pesquisará e roubará e-mails para usar em futuras campanhas de spam e descartará cargas adicionais, como Cobalt Strike ou outro malware que geralmente leva a ataques de ransomware.
Campanha de emotet com anexos de bugs quebrados
Na sexta-feira passada, os distribuidores de malware Emotet lançaram uma nova campanha de e-mail que incluía anexos ZIP protegidos por senha contendo arquivos Windows LNK (atalho) que simulavam documentos do Word.
Fonte: Cofen
Quando um usuário clica duas vezes no atalho, ele executa um comando que pesquisa no arquivo de atalho uma determinada seqüência de caracteres que contém o código do Visual Basic Script, adiciona o código encontrado a um novo arquivo VBS e executa esse arquivo VBS, conforme o exemplo abaixo. .
Fonte: BleepingComputer
No entanto, esse comando continha um erro, pois usava um nome de atalho estático de ‘Password2.doc.lnk’, embora o nome real do arquivo de atalho anexado seja diferente, como ‘INVOICE 2022-04-22_1033, USA .doc’.
Isso fez com que o comando falhasse, pois o arquivo Password2.doc.lnk não existia e, portanto, o arquivo VBS não foi criado, conforme explicado pelo grupo de pesquisa Cryptolaemus do Emotet.
#emoticon Atualização: Nas últimas horas, Ivan está executando alguns testes no E4 para tentar burlar a detecção anexando um VBS ao final de um arquivo LNK em um zip. Quando o LNK for iniciado, ele encontrará uma string em si mesmo e copiará o restante dessa string para um arquivo VBS. 1 / x https://t.co/pEcOWdbfOa
– Cryptolaemus (@ Cryptolaemus1) 22 de abril de 2022
pesquisador de cryptolaemus joseph roose disse ao BleepingComptuer que o Emotet encerrou a nova campanha de e-mail aproximadamente às 00:00 UTC na sexta-feira depois de descobrir que o bug estava impedindo que os usuários fossem infectados.
Infelizmente, o Emotet corrigiu o bug hoje e mais uma vez começou a enviar spam aos usuários com e-mails maliciosos contendo arquivos zip protegidos por senha e anexos de atalho.
Esses atalhos agora fazem referência aos nomes de arquivos corretos quando o comando é executado, permitindo que os arquivos VBS sejam criados corretamente e o malware Emotet seja baixado e instalado nos dispositivos das vítimas.
Fonte: BleepingComputer
A empresa de segurança de e-mail Cofense disse à BleepingComputer que os anexos usados nas campanhas do Emotet de hoje são:
form.zip
Form.zip
Electronic form.zip
PO 04252022.zip
Form - Apr 25, 2022.zip
Payment Status.zip
BANK TRANSFER COPY.zip
Transaction.zip
ACH form.zip
ACH payment info.zipSe você receber um e-mail com anexos protegidos por senha semelhantes, é altamente recomendável que você não os abra.
Em vez disso, você deve entrar em contato com seus administradores de rede ou segurança e pedir que examinem o anexo para determinar se ele é malicioso ou não.
[ad_2]
