E-mail


Senha

Lembrar senha

   
Informe o e-mail usado para fazer o login


   



Pesquisa




Blog do forcepoint security labs: feliz dia de ação de graças, emotet!
Enviar release
Este release no seu Blog ou Site
Blog do forcepoint security labs: feliz dia de ação de graças, emotet!
...

Por Adrian OGara, Security Researcher, and Ran Mosessco, Principal Security Researcher

Observamos que Emotet, o Trojan bancário que virou uma plataforma de entrega de malware, alterou recentemente e de forma interessante seu comportamento. Após uma pausa de algumas semanas, verificamos que o Emotet retornou em novembro, com a ofuscação de macro e formatação atualizadas. No dia 19 de novembro, ele iniciou uma campanha focada nos EUA com o tema de Ação de Graças. Como muitos sabem, este é um momento já conhecido no setor bancário. Muitas mensagens são enviadas por meio de e-mails.
A equipe do Emotet pensou rápido e incluiu algumas frases bonitas sobre Ação de Graças nos e-mails que observamos, com volume superior a 27.000 no período entre 7:30h EST e 17:00h EST.

Figura 1 - Exemplo de conteúdo de e-mail.

Macros e ofuscação
Esta nova campanha com o tema de Ação de Graças segue amplamente o padrão usual de um e-mail, porém, contém um documento com macros incorporadas que levam a um downloader do PowerShell para a carga do Emotet.
Entretanto, o documento neste caso já não é mais o tradicional .doc ou .docx, mas sim um arquivo XML mascarado como um arquivo .doc, e a macro nesta instância utiliza o recurso de Formas para fazer a chamada da função de shell usando um WindowStyle de vbHide. A sintaxe para a função de shell é
Shell ( caminho, [ windowstyle ]), onde caminho pode ser um programa ou script.
Quando não ofuscado, o comando revela o downloader padrão do PowerShell que costumamos observar com o Emotet.

Conclusão
Nas poucas semanas desde o retorno do Emotet, observamos que ele sofreu algumas mudanças interessantes, mais notavelmente com o novo tema de Ação de Graças e a ofuscação de macro discutida anteriormente. Embora não seja uma inovação (o uso de arquivos XML para ocultar macros foi relatado pela Trustwave em 2015), ele representa um desafio para os profissionais da segurança devido ao grande volume de e-mails enviados e as assinaturas de detecção precisam ser criadas rapidamente para deter essa forte onda.

Declaração de proteção
Os clientes da Forcepoint estão protegidos contra essa ameaça nos seguintes estágios de ataque:
• Estágio 3 (Entrega) – e-mails maliciosos são identificados e bloqueados.
• Etapa 4 (Exploração) – anexos maliciosos são identificados e bloqueados
• Etapa 5 (Dropper) – URLs de carga maliciosas são identificados e bloqueados
• Estágio 6 (Call Home) – o tráfego para nós C2 é identificado e bloqueado

Editorias: Ciência e Tecnologia  
Tipo: Pauta  Data Publicação:
Fonte do release
Empresa: IMS BRASIL  
Contato: Marcia Cerqueira  
Telefone: 11-31923806-

Envie um e-mail para o(a) responsável pela notícia acima:
Seu nome

Seu e-mail

Mensagem

Digite o código mostrado abaixo

  
Skype:
MSN:
Twitter:
Facebook:
Eventos
Copyright 2008 - DIFUNDIR - Todos os direitos reservados. Não é permitida a reprodução deste conteúdo sem prévia autorização.