Arquivos do Excel usados de novo em campanha do Emotet

Da Redação
14/03/2022

Mais de 500 arquivos do Microsoft Excel vêm sendo usados para disseminar uma nova variante do Emotet. A descoberta foi feita pela equipe do FortiGuard Labs da Fortinet, que já monitorou várias campanhas do cavalo de Troia no passado. 

O Emotet usa engenharia social, como e-mail, para atrair destinatários a abrir documentos anexados, incluindo Word, Excel, PDF, etc. Conhecido como trojan modular, ele foi descoberto pela primeira vez em meados de 2014. Desde então, tornou-se muito ativo, atualizando-se continuamente. Também tem sido destaque nas notícias de segurança cibernética de tempos em tempos. De acordo com os relatórios do FortiGuard Labs para Brasil e América Latina, o Emotet esteve ativo na região ao longo de 2021 e continua neste ano.

Os analistas do FortiGuard Labs pegaram um arquivo Excel das amostras capturadas e conduziram uma pesquisa profunda sobre essa nova campanha. A imagem abaixo mostra a mensagem falsa usada para atrair uma vítima a clicar no botão “Habilitar conteúdo” para visualizar o conteúdo protegido do arquivo Excel. O arquivo pode ter chegado à vítima por meio de um desconhecido ou como um anexo em um e-mail de phishing.

A seguir, a equipe do FortiGuard Labs descreve o que acontece quando o destinatário abre o e-mail ou o anexo e clica em “Habilitar conteúdo””

• A macro maliciosa possui uma função chamada “Workbook_Open()” que é executada automaticamente em segundo plano quando o arquivo do Excel é aberto. Ele chama outras funções locais para gravar dados em dois arquivos: “uidpjewl.bat” e “tjspowj.vbs” na pasta “C:\ProgramData\”. Os dados escritos são lidos de várias células deste arquivo Excel. No final, a macro executa o arquivo “tjspowj.vbs” com “wscript.exe”.

• Após o arquivo Emotet (“puihoud.dll”) ser carregado por “rundll32.exe”, sua função de ponto de entrada é chamada pela primeira vez.

• Assim que o Emotet termina de coletar as informações básicas do dispositivo da vítima, ele chama a API BCryptEncrypt() para criptografar os dados e iniciar a comunicação com o servidor Command & Control (C2).

• Depois que o Emotet recebe uma resposta válida do servidor C2, ele realoca o arquivo Emotet dll baixado de “C:\Windows\ProgramData\puihoud.dll” para a pasta “%LocalAppData%”.

• Além disso, para permanecer no dispositivo da vítima, o Emotet se torna persistente ao adicionar o arquivo realocado ao grupo de execução automática no registro do sistema. O Emotet pode então ser executado na inicialização do sistema.

Veja isso
Emotet desbanca Trickbot e passa a liderar ranking de malwares
Trickbot ressuscita Emotet para ataques do Conti

O que fazer para se proteger

A proteção mais efetiva é sempre a conscientização dos usuários finais. Fazer com que todos os funcionários saibam identificar e-mails e mensagens suspeitas, assim como o funcionamento de uma campanha de phishing, é o primeiro passo que as empresas têm que dar. O curso gratuito da Fortinet (em português) NSE 1 – Conscientização sobre Segurança da Informação inclui um módulo sobre ameaças da internet projetado para ajudar os usuários finais a aprenderem como identificar e se proteger contra ataques de phishing.

Além disso, soluções de avançadas de segurança ajudam as organizações a estarem protegidas:

• A macro maliciosa dentro da amostra do Excel pode ser desarmada por um serviço de CDR (Content Disarm & Reconstruction), tecnologia para remover códigos potencialmente maliciosos de arquivos;

• Um bom serviço de web filtering que classifique todas as URLs relevantes como “sites maliciosos”;

• Bloqueio dos arquivos de malware por um antivírus;

• Solução de EDR (Endpoint Detection and Response) para detectar o arquivo Excel e o arquivo dll Emotet como maliciosos com base em seu comportamento.

Compartilhar: