Por Adrian OGara, Security Researcher, e Ran Mosessco, Principal Security Researcher

Observamos que Emotet, o Trojan bancário que virou uma plataforma de entrega de malware, alterou recentemente e de forma interessante seu comportamento. Após uma pausa de algumas semanas, verificamos que o Emotet retornou em novembro, com a ofuscação de macro e formatação atualizadas. No dia 19 de novembro, ele iniciou uma campanha focada nos EUA com o tema de Ação de Graças. Como muitos sabem, este é um momento já conhecido no setor bancário. Muitas mensagens são enviadas por meio de e-mails.

A equipe do Emotet pensou rápido e incluiu algumas frases bonitas sobre Ação de Graças nos e-mails que observamos, com volume superior a 27.000 no período entre 7:30h EST e 17:00h EST.

Figura 1 – Exemplo de conteúdo de e-mail:

Macros e ofuscação

Esta nova campanha com o tema de Ação de Graças segue amplamente o padrão usual de um e-mail, porém, contém um documento com macros incorporadas que levam a um downloader do PowerShell para a carga do Emotet.

Entretanto, o documento neste caso já não é mais o tradicional .doc ou .docx, mas sim um arquivo XML mascarado como um arquivo .doc, e a macro nesta instância utiliza o recurso de Formas para fazer a chamada da função de shell usando um WindowStyle de vbHide. A sintaxe para a função de shell é

Shell ( caminho, [ windowstyle ]), onde caminho pode ser um programa ou script.

Figura 2 – Macro usando Formas

A saída resultante é um comando bastante ofuscado, mostrado abaixo na figura 3.

Figura 3 – comando DOS ofuscado

Quando não ofuscado, o comando acima revela o downloader padrão do PowerShell que costumamos observar com o Emotet:

Figura 4 – Downloader do PowerShell:

 

Conclusão

Nas poucas semanas desde o retorno do Emotet, observamos que ele sofreu algumas mudanças interessantes, mais notavelmente com o novo tema de Ação de Graças e a ofuscação de macro discutida anteriormente. Embora não seja uma inovação (o uso de arquivos XML para ocultar macros foi relatado pela Trustwave em 2015), ele representa um desafio para os profissionais da segurança devido ao grande volume de e-mails enviados e as assinaturas de detecção precisam ser criadas rapidamente para deter essa forte onda.

 

Declaração de proteção

Os clientes da Forcepoint estão protegidos contra essa ameaça nos seguintes estágios de ataque:

  • Estágio 3 (Entrega) – e-mails maliciosos são identificados e bloqueados.
  • Etapa 4 (Exploração) – anexos maliciosos são identificados e bloqueados
  • Etapa 5 (Dropper) – URLs de carga maliciosas são identificados e bloqueados
  • Estágio 6 (Call Home) – o tráfego para nós C2 é identificado e bloqueado

O que achou do post? Deixe sua dúvida ou comentário!

Junte-se à Forcepoint nas redes sociais

LinkedIn: https://www.linkedin.com/company/forcepoint

Twitter: https://www.twitter.com/forcepointsec

Facebook: https://www.facebook.com/ForcepointLLC/ 

Instagram: https://www.instagram.com/forcepoint 

LEAVE A REPLY

Please enter your comment!
Please enter your name here