Documentos contaminados são disfarçados com layout da Docusign

Da Redação
07/04/2021

Uma ferramenta chamada EtterSilent está se tornando popular entre os criminosos cibernéticos do hemisfério norte: ela cria documentos contaminados (maldoc builder) e tem a possibilidade de acrescentar o layout da Docusign como disfarce para fazer as vítimas clicarem nos botões e assim instalarem malware.

O EtterSilent apareceu em meados de 2020 em fóruns de cibercriminosos que conversam em russo. Ontem, pesquisadores da empresa de inteligência de ameaças Intel 471 publicaram um post informando que os vendedores da ferramenta estão agora oferecendo uma versão que gera dois tipos de documentos contaminados do Microsoft Office: o primeiro com um exploit para uma vulnerabilidade já conhecida e outro com uma macro maliciosa.

Veja isso
Encontrados 10 aplicativos do Google Play contendo malware bancário
Hackers usam black hat SEO para enviar ransomware e trojans via Google

O EtterSilent maldoc com código de macro é o que pode se comportar como um documento DocuSign ou DigiCert, segundo a Intel 471, pedindo aos usuários que habilitem o suporte para macros e, portanto, baixem o payload em segundo plano. Ele está usando macros XML do Excel 4.0 e, portanto, não depende da linguagem de programação Visual Basic for Applications (VBA). Nas promoções em fóruns clandestinos o EtterSilent é apresentado como sendo capaz de ignorar o Windows Defender, o Windows AMSI (Antimalware Scan Interface) e a varredura de serviços de e-mail populares como o Gmail.

A ferramenta está sendo usada em muitas campanhas de malware: apareceu numa campanha de spam recente trazendo uma versão atualizada do Trickbot. Nessa campanha, o documento foi anexado em um e-mail disfarçado de fatura de um conhecido fabricante multinacional de eletrodomésticos.

Em 19 de março de 2021, o EtterSilent apareceu numa campanha do loader Bazar: o maldoc analisado não usava um modelo DocuSign, mas a planilha principal do Excel era chamada de “DocuSign”. O maldoc baixa o payload do Bazar, que por sua vez se conecta a um endereço de onde o backdoor do Bazar.

Com agências de notícias internacionais

Compartilhar: