Depois de um tempo sumido, o Botnet Emotet voltou após um hiato de um mês e tem alguns truques novos. Eles agora parecem ser de um contato conhecido, se dirigem ao destinatário pelo nome e parecem estar respondendo a um email fio.
O Emotet é um dos principais perigos da Internet, por isso nunca é demais refrescar a memória com o novos truques você aprende e tenta não cair em suas garras.
Novos truques para Emotet
O Emotet usa vários truques para tentar evitar a detecção e a análise. Emotet é polimórfico , o que significa que ele pode mudar a si mesmo cada vez que é baixado e evitar a detecção baseada em assinatura.
Toda vez Emotet voltou em hiatos anteriores, trouxe novas técnicas projetadas para burlar produtos de segurança e induzir os usuários a clicar em links ou habilitar códigos perigosos em Microsoft Anexos de documentos do Office. A retomada da atividade na semana passada seguiu esse padrão.
Na semana passada, uma onda de mensagens de spam maliciosas foi detectado que parece vir de um contato conhecido, endereça o destinatário pelo nome e parece estar respondendo a um segmento de e-mail existente. Dessa forma, eles adicionam credibilidade ao e-mail malicioso e aumentam as chances de alguém morder.
Por exemplo, um dos documentos do Word continha uma grande quantidade de dados estranhos anexados ao final, fazendo com que excedesse 500 MB de tamanho, o que é incomum para um arquivo de texto, mas evita a detecção e pode ser verificado por alguns produtos de segurança. o conteúdo. Essa técnica, conhecida como preenchimento binário ou bombeamento de arquivo , funciona adicionando zeros ao final do documento.
Quando abertos, os documentos do Word apresentam um gráfico dizendo que o conteúdo não pode ser acessado a menos que o usuário clique no botão “habilitar conteúdo”. Clicar no botão “ativar conteúdo” desfaz esse padrão e permite que a macro seja executada. A macro faz com que o Office baixe um arquivo .zip de um site legítimo que foi invadido. O Office descompactará o arquivo compactado e execute a DLL do Emotet que infecta o dispositivo.
Fundo Emotet
O Emotet é um Trojan que se espalha principalmente por e-mails de spam (malspam) . A infecção pode chegar lá por meio de scripts maliciosos, arquivos de documento habilitados para macro ou links maliciosos.
Os e-mails do Emotet podem conter imagens de marcas conhecidas projetadas para parecer um e-mail legítimo. Emotet pode tentar persuadir os usuários a clicar nos arquivos maliciosos usando linguagem atraente sobre “Sua fatura”, “Informações de pagamento” ou possivelmente uma próxima remessa de empresas de correio conhecidas.
O Emotet passou por algumas iterações. As primeiras versões chegaram como um arquivo JavaScript malicioso. As versões posteriores evoluíram para usar documentos habilitados para macro para recuperar a carga útil do vírus dos servidores de comando e controle (C&C) executados pelos invasores. Agora temos novos truques e com certeza não serão os últimos.
