Cibercriminosos usam anexos do OneNote para distribuir o Emotet

Da Redação
21/03/2023

Cibercriminosos estão usando uma nova tática para contornar as restrições de segurança baseadas em macro para distribuir o malware Emotet que, após um breve período de “dormência”, voltou a ser disseminado, agora por meio de anexos de e-mail no OneNote, aplicativo de anotações e gravações de áudio da Microsoft, para se infiltrar em mais sistemas.

O Emotet é um tipo de malware altamente avançado criado para exfiltrar informações confidenciais e credenciais de usuários de sistemas infectados. Descoberto em 2014 como um trojan bancário, ele se espalhou predominantemente por e-mails maliciosos. No entanto, desde então, o Emotet passou por uma transformação significativa e agora existe em um formato totalmente novo de malware, que atua com sua própria botnet. Como resultado, ele pode instalar remotamente software malicioso nos dispositivos de destino.

As infecções do Emotet geralmente são feita por meio de e-mails de phishing que contêm faturas falsas, relatórios de pagamento, dados de remessa, oportunidades de emprego ou qualquer outro documento que possa ser significativo para o destinatário. Esses e-mails incluem arquivos do Word ou Excel que abrigam macros, que devem ser habilitadas pelo usuário antes que ele possa acessar o conteúdo do documento.

Os operadores do Emotet empregam uma série de táticas para induzir os usuários a habilitar essas macros, incluindo modelos de documentos que fingem ter sido criados em várias plataformas. Se o usuário cair na armadilha e habilitar as macros, um arquivo DLL é baixado e executado, resultando na instalação do malware no dispositivo.

No ano passado, a Microsoft implementou uma medida para bloquear automaticamente macros de documentos baixados, o que obrigou os cibercriminosos a reavaliar suas estratégias de disseminação de malware. Como consequência, vários grupos de cibercriminosos passaram a usar documentos do OneNote para descartar suas cargas maliciosas. O Emotet agora se juntou ao movimento e adotou essa abordagem.

Embora o OneNote exiba uma mensagem quando um usuário tenta iniciar um arquivo incorporado em um documento do aplicativo de anotações e gravações de áudio, muitos usuários costumam descartar o alerta clicando no botão “OK”.

“O arquivo do OneNote é simples, mas eficaz para usuários de engenharia social com uma notificação falsa informando que o documento está protegido”, disse o site Malwarebytes em um alerta na semana passada. “Quando instruídas a clicar duas vezes no botão Exibir, as vítimas inadvertidamente clicam duas vezes em um arquivo de script incorporado”. 

Veja isso
Microsoft alerta sobre exploração de dia zero no Outlook
Patch Tuesday: Microsoft corrige 3 bugs de dia zero e 77 falhas

No caso de um usuário clicar no botão “OK”, o arquivo VBScript click.wsf incorporado é executado usando WScript.exe da pasta Temp do OneNote. O script então baixa o malware Emotet como uma DLL e o armazena na mesma pasta Temp. Por fim, ele executa o arquivo DLL nomeado aleatoriamente usando regsvr32.exe, permitindo que o malware estabeleça uma posição no sistema comprometido. O malware então estabelece comunicação com seus servidores de comando e controle para obter instruções adicionais.

A Microsoft reconheceu a ameaça representada por documentos de phishing e prometeu aprimorar as medidas de segurança do OneNote para mitigar tais riscos. Mas a empresa não forneceu nenhum cronograma específico sobre quando essas proteções aprimoradas serão disponibilizadas para todos os usuários. Com agências de notícias internacionais.

Compartilhar: