HomePtNotíciaMalware Emotet reinfecta usuários após corrigir instalador quebrado

Malware Emotet reinfecta usuários após corrigir instalador quebrado


A campanha de phishing do malware Emotet está em execução novamente depois que os agentes de ameaças corrigiram um bug que impedia que as pessoas fossem infectadas ao abrir anexos de e-mail maliciosos.

Emotet é uma infecção por malware distribuída por meio de campanhas de spam com anexos maliciosos. Se um usuário abrir o anexo, macros ou scripts maliciosos baixarão a DLL Emotet e a carregarão na memória.

Uma vez carregado, o malware pesquisará e roubará e-mails para usar em futuras campanhas de spam e descartará cargas adicionais, como Cobalt Strike ou outro malware que geralmente leva a ataques de ransomware.

Campanha de emotet com anexos de bugs quebrados

Na sexta-feira passada, os distribuidores de malware Emotet lançaram uma nova campanha de e-mail que incluía anexos ZIP protegidos por senha contendo arquivos Windows LNK (atalho) que simulavam documentos do Word.

Exemplo atual de e-mail de phishing do Emotet
Exemplo atual de e-mail de phishing do Emotet
Fonte: Cofen

Quando um usuário clica duas vezes no atalho, ele executa um comando que pesquisa no arquivo de atalho uma determinada seqüência de caracteres que contém o código do Visual Basic Script, adiciona o código encontrado a um novo arquivo VBS e executa esse arquivo VBS, conforme o exemplo abaixo. .

Comandos de atalho de emotet da campanha de sexta-feira
Comandos de atalho de emotet da campanha de sexta-feira
Fonte: BleepingComputer

No entanto, esse comando continha um erro, pois usava um nome de atalho estático de ‘Password2.doc.lnk’, embora o nome real do arquivo de atalho anexado seja diferente, como ‘INVOICE 2022-04-22_1033, USA .doc’.

Isso fez com que o comando falhasse, pois o arquivo Password2.doc.lnk não existia e, portanto, o arquivo VBS não foi criado, conforme explicado pelo grupo de pesquisa Cryptolaemus do Emotet.