X-Labs
Novembro 20, 2018

Thanks for Giving, Emotet!

Adrian OGara Security Researcher
Ran Mosessco Principal Security Researcher

Emotet – the banking Trojan turned malware delivery platform – has recently been observed altering its behaviour in some interesting ways. After a hiatus of some weeks, we observed Emotet returning in mid-November with upgraded macro obfuscation and formatting.  On 19 November, it began a US-centric Thanksgiving-themed campaign. As many will know this is a departure from the standard financial themes regularly seen.

A equipe do Emotet pensou rápido e incluiu algumas frases bonitas sobre Ação de Graças nos e-mails que observamos, com volume superior a 27.000 no período entre 7:30h EST e 17:00h EST.

 

Figure 1 - Sample email contents

Figura 1 - Exemplo de conteúdo de email

Macros e ofuscação

Esta nova campanha com o tema de Ação de Graças segue amplamente o padrão usual de um e-mail, porém, contém um documento com macros incorporadas que levam a um downloaderdo PowerShell para a carga do Emotet.

Entretanto, o documento neste caso já não é mais o tradicional .doc ou .docx, mas sim um arquivo XML mascarado como um arquivo .doc, e a macro nesta instância utiliza o recurso de Formas para fazer a chamada da função de shell usando um WindowStyle de vbHide. A sintaxe para a função de shell é

Shell ( caminho, [ windowstyle]), onde caminhopode ser um programa ou script.

Figure 2 - Macro using Shapes

Figura 2 - Macro usando Formas

A saída resultante é um comando bastante ofuscado, mostrado abaixo.

Figure 3 - Obfuscated DOS command

Figura 3 - comando DOS ofuscado

Quando não ofuscado, o comando acima revela o downloaderpadrão do PowerShell que costumamos observar com o Emotet.

Figure 4 - Powershell downloader

Figura 4 - Downloader do PowerShell

Conclusão

Nas poucas semanas desde o retorno do Emotet, observamos que ele sofreu algumas mudanças interessantes, mais notavelmente com o novo tema de Ação de Graças e a ofuscação de macro discutida anteriormente. Embora não seja uma inovação (o uso de arquivos XML para ocultar macros foi relatado pela Trustwave em 2015), ele representa um desafio para os profissionais da segurança devido ao grande volume de e-mails enviados e as assinaturas de detecção precisam ser criadas rapidamente para deter essa forte onda.

Declaração de proteção

Os clientes da Forcepoint estão protegidos contra essa ameaça nos seguintes estágios de ataque:

  • Estágio 3 (Entrega) – e-mails maliciosos são identificados e bloqueados.
  • Etapa 4 (Exploração) – anexos maliciosos são identificados e bloqueados
  • Etapa 5 (Dropper) – URLs de carga maliciosas são identificados e bloqueados
  • Estágio 6 (Call Home) – o tráfego para nós C2 é identificado e bloqueado

Sobre a Forcepoint

A Forcepoint é uma empresa global de cibersegurança centrada no ser humano que transforma as companhias digitais ao adaptar continuamente a resposta de segurança ao risco dinâmico representado por usuários individuais e máquinas. O Human Point System da Forcepoint oferece proteção adaptável aos riscos para garantir o uso confiável de dados e sistemas. Sediada em Austin, Texas, a Forcepoint protege o ponto humano de milhares de clientes corporativos e governamentais em mais de 150 países. www.forcepoint.com

Junte-se à Forcepoint nas redes sociais

LinkedIn: https://www.linkedin.com/company/forcepoint
Twitter: https://www.twitter.com/forcepointsec
Facebook: https://www.facebook.com/ForcepointLLC/
Instagram: https://www.instagram.com/forcepoint  

RM

Ran Mosessco

Principal Security Researcher

Sobre a Forcepoint

A Forcepoint é líder em cibersegurança para proteção de usuários e dados, com a missão de proteger as organizações ao impulsionar o crescimento e a transformação digital. Nossas soluções adaptam-se em tempo real à forma como as pessoas interagem com dados, fornecendo acesso seguro e habilitando os funcionários a criar valor.