Thanks for Giving, Emotet!
Emotet – the banking Trojan turned malware delivery platform – has recently been observed altering its behaviour in some interesting ways. After a hiatus of some weeks, we observed Emotet returning in mid-November with upgraded macro obfuscation and formatting. On 19 November, it began a US-centric Thanksgiving-themed campaign. As many will know this is a departure from the standard financial themes regularly seen.
A equipe do Emotet pensou rápido e incluiu algumas frases bonitas sobre Ação de Graças nos e-mails que observamos, com volume superior a 27.000 no período entre 7:30h EST e 17:00h EST.
Figura 1 - Exemplo de conteúdo de email
Macros e ofuscação
Esta nova campanha com o tema de Ação de Graças segue amplamente o padrão usual de um e-mail, porém, contém um documento com macros incorporadas que levam a um downloaderdo PowerShell para a carga do Emotet.
Entretanto, o documento neste caso já não é mais o tradicional .doc ou .docx, mas sim um arquivo XML mascarado como um arquivo .doc, e a macro nesta instância utiliza o recurso de Formas para fazer a chamada da função de shell usando um WindowStyle de vbHide. A sintaxe para a função de shell é
Shell ( caminho, [ windowstyle]), onde caminhopode ser um programa ou script.
Figura 2 - Macro usando Formas
A saída resultante é um comando bastante ofuscado, mostrado abaixo.
Figura 3 - comando DOS ofuscado
Quando não ofuscado, o comando acima revela o downloaderpadrão do PowerShell que costumamos observar com o Emotet.
Figura 4 - Downloader do PowerShell
Conclusão
Nas poucas semanas desde o retorno do Emotet, observamos que ele sofreu algumas mudanças interessantes, mais notavelmente com o novo tema de Ação de Graças e a ofuscação de macro discutida anteriormente. Embora não seja uma inovação (o uso de arquivos XML para ocultar macros foi relatado pela Trustwave em 2015), ele representa um desafio para os profissionais da segurança devido ao grande volume de e-mails enviados e as assinaturas de detecção precisam ser criadas rapidamente para deter essa forte onda.
Declaração de proteção
Os clientes da Forcepoint estão protegidos contra essa ameaça nos seguintes estágios de ataque:
- Estágio 3 (Entrega) – e-mails maliciosos são identificados e bloqueados.
- Etapa 4 (Exploração) – anexos maliciosos são identificados e bloqueados
- Etapa 5 (Dropper) – URLs de carga maliciosas são identificados e bloqueados
- Estágio 6 (Call Home) – o tráfego para nós C2 é identificado e bloqueado
Sobre a Forcepoint
A Forcepoint é uma empresa global de cibersegurança centrada no ser humano que transforma as companhias digitais ao adaptar continuamente a resposta de segurança ao risco dinâmico representado por usuários individuais e máquinas. O Human Point System da Forcepoint oferece proteção adaptável aos riscos para garantir o uso confiável de dados e sistemas. Sediada em Austin, Texas, a Forcepoint protege o ponto humano de milhares de clientes corporativos e governamentais em mais de 150 países. www.forcepoint.com
Junte-se à Forcepoint nas redes sociais
LinkedIn: https://www.linkedin.com/company/forcepoint
Twitter: https://www.twitter.com/forcepointsec
Facebook: https://www.facebook.com/ForcepointLLC/
Instagram: https://www.instagram.com/forcepoint