Hackers fingem ser representantes da Noruega na ONU em e afirmam que há um problema com um contrato anexo assinado e que o destinatário deve analisá-lo para descobrir o problema
Fingindo ser a Missão Permanente da Noruega, hackers que operam o trojan Emotet realizaram um ataque de phishing contra endereços de e-mail associados a usuários das Nações Unidas. Nesta segunda-feira, 13, o cavalo de Troia voltou a atacar depois de três semanas de férias com fortes campanhas de spam direcionadas a países de todo o mundo.
Enquanto as campanhas normais de spam do Emotet fingiam ser relatórios contábeis, avisos de entrega e faturas falsos, os hackers tinham algo em mente especial para as Nações Unidas.
Em uma amostra de um e-mail de phishing compartilhado com o site BleepingComputer pela empresa de segurança de e-mail Cofense, os operadores do Emotet fingem ser representantes da Noruega nas Nações Unidas em Nova York e afirmam que há um problema com um contrato anexo assinado e que o destinatário deve analisá-lo para descobrir o problema. Segundo a Cofense, essa campanha de phishing tinha “segmentação altamente específica” e foi enviada para 600 endereços de e-mail exclusivos nas Nações Unidas.
O e-mail informa que os representantes da Noruega encontraram um problema com um contrato assinado e que o destinatário deve analisá-lo para descobrir o problema.
O texto completo do e-mail de phishing direcionado pode ser lido abaixo:
Hi,
Please be advised that the new problem has been appeared today.
See below our info for this question.
Please let me know if you need anything else.
Regards
Permanent Mission of Norway to the United Nations in New YorkAnexado a esses e-mails está um documento escrito em MS-Word que começa com “Doc_01_13” e finge ser o contrato assinado que está sendo enviado pela Missão Permanente da Noruega.
Embora houvesse espaço para o Emotet enviar um modelo de documento do Word mais convincente, eles enviaram o mesmo usado para todas as campanhas de spam. Esse modelo finge ser um aviso de que “o documento está disponível apenas para versões de desktop ou laptop do Office/Word”. Em seguida, solicita que o usuário clique em ‘Ativar edição’ ou ‘Ativar conteúdo’ para visualizar o documento.
Se o usuário abrir o documento e ativar seu conteúdo, serão executadas macros maliciosas do Word que baixam e instalam o Emotet no computador. O trojan agora é executado em segundo plano enquanto envia e-mails de spam para outras vítimas. Ele pode levar a um comprometimento total da rede
Eventualmente, o Emotet também instalará outras cargas úteis, como o trojan Trickbot, que seria usado quando as coisas ficassem realmente ruins para a estação de trabalho da ONU comprometida. Quando ele é instalado em uma máquina, uma das cargas de malware que é invariavelmente instalada é o TrickBot.
O trojan tentará coletar dados do computador, como cookies, credenciais de login, arquivos do computador e possivelmente se espalhar para outros computadores na rede. Após a coleta de informações, o TrickBot é conhecido por abrir um shell reverso de volta aos hackers operadores do Ryuk. Esses operadores irão se infiltrar na rede, obter credenciais de administrador e, finalmente, implantar o Ryuk para criptografar todos os dispositivos da rede. Embora não haja vítimas conhecidas desse ataque de phishing, esse ataque direcionado ilustra que os maus atores estão constantemente tentando obter acesso às redes de organizações e redes governamentais.
