0
0
Após uma breve pausa, uma nova campanha de malware Emotet foi flagrada pelos especialistas em 14 de outubro, os bandidos começaram a usar um novo anexo ‘Windows Update’.
Após uma breve interrupção, uma nova campanha de malware Emotet foi flagrada pelos especialistas em outubro. Os atores de ameaças começaram a usar novos anexos do Windows Update em uma campanha de spam voltada para usuários em todo o mundo.
A campanha de spam usa um novo anexo malicioso que finge ser uma mensagem do Windows Update e tenta enganar as vítimas recomendando atualizar o Microsoft Word.
O trojan bancário Emotet está ativo pelo menos desde 2014, a botnet é operada por um ator de ameaças rastreado como TA542. Em meados de agosto, o malware foi empregado em uma nova campanha de spam com tema COVID19
Campanhas recentes de spam usavam mensagens com documentos maliciosos do Word ou links para eles, fingindo ser uma fatura, informações de envio, informações COVID-19,currículos, documentos financeiros ou documentos digitalizados.
O infame trojan bancário também é usado para fornecer outros códigos maliciosos, como trickbot e trojan QBot ou ransomware, como Conti (TrickBot) ou ProLock (QBot).
Emotet é um malware modular, seus operadores poderiam desenvolver novas Bibliotecas de Links Dinâmicos para atualizar seus recursos.
Recentemente, a Agência de Segurança cibernética e segurança de infraestrutura (CISA) emitiu um alerta para alertar sobre uma onda de ataques da Emotet que têm como alvo vários governos estaduais e locais nos EUA desde agosto.
Durante esse tempo, o Sistema de Detecção de Intrusões EINSTEIN da agência detectou cerca de 16.000 alertas relacionados à atividade da Emotet.
A nova campanha foi observada em 14 de outubro, os atacantes estão usando várias iscas, incluindo faturas, ordens de compra, informações de envio, informações COVID-19 e informações sobre a saúde do presidente Trump.
As mensagens de spam vêm com anexos maliciosos do Word (.doc) ou incluem links para baixar o documento da isca.
Ao abrir os anexos, os usuários são instruídos a ‘Ativar conteúdo’, desta forma as macros maliciosas serão executadas iniciando o processo de infecção.
“Para enganar os usuários para que habilitem as macros, a Emotet usa vários modelos de documentos, incluindo fingir ser criado em dispositivos iOS, Windows 10 Mobile ou que o documento está protegido.” relatado BleepingComputer.
A campanha recente empregou um novo modelo que finge ser uma mensagem do Windows Update instando a atualização do Microsoft Word a visualizar corretamente o documento.
Abaixo a mensagem exibida aos usuários:
Windows Update Some apps need to be updated
These programs need to be upgrade because they aren't compatible with this file format. * Microsoft Word
You need to click Enable Editing and then click Enable Content.
Os pesquisadores recomendam compartilhar conhecimento sobre modelos de documentos maliciosos usados pela Emotet, a fim de identificá-los rapidamente e evitar serem infectados.
FONTE: SECURITY AFFAIRS