Depois de passarmos alguns dias sem infecções do Emotet, uma campanha de phishing do malware está em execução novamente. As novas infecções acontecem depois que os agentes da ameaça corrigiram um bug que impedia que as pessoas fossem infectadas ao abrir anexos de e-mail maliciosos.
Malware Emotet
Emotet é uma infecção por malware distribuída por meio de campanhas de spam com anexos maliciosos. Se um usuário abrir o anexo, macros ou scripts maliciosos baixarão a DLL Emotet e a carregarão na memória.
Uma vez carregado, o malware pesquisará e roubará e-mails para usar em futuras campanhas de spam e descartará cargas adicionais, como Cobalt Strike ou outro malware que geralmente leva a ataques de ransomware.
Anexos de bugs quebraram a campanha do Emotet
Os distribuidores de malware Emotet lançaram uma nova campanha de e-mail que incluía anexos de arquivos ZIP protegidos por senha contendo arquivos Windows LNK (atalho) fingindo ser documentos do Word.
De acordo com o BleepingComuter, quando um usuário clica duas vezes no atalho, ele executa um comando que pesquisa no arquivo de atalho uma string específica que contém o código do Visual Basic Script, anexa o código encontrado a um novo arquivo VBS e executa esse arquivo VBS.
No entanto, esse comando continha um bug, pois usava um nome de atalho estático de ‘Password2.doc.lnk’, embora o nome real do arquivo de atalho anexado seja diferente, como ‘INVOICE 2022-04-22_1033, USA.doc’. Isso fez com que o comando falhasse, pois o arquivo Password2.doc.lnk não existia e, portanto, o arquivo VBS não foi criado, conforme explicado pelo grupo de pesquisa do Emotet Cryptolaemus.
O pesquisador da Cryptolaemus, Joseph Roosen, disse ao BleepingComputuer que o Emotet encerrou a nova campanha de e-mail na sexta-feira depois de descobrir que o bug estava impedindo que os usuários fossem infectados.
Emotet corrige bug e volta a fazer vítimas
Infelizmente, o Emotet corrigiu o bug hoje e, mais uma vez, começou a enviar spam aos usuários com e-mails maliciosos contendo arquivos zip protegidos por senha e anexos de atalho. Esses atalhos agora fazem referência aos nomes de arquivos corretos quando o comando é executado, permitindo que os arquivos VBS sejam criados corretamente e o malware Emotet seja baixado e instalado nos dispositivos das vítimas.
Se você receber um e-mail com anexos protegidos por senha semelhantes, é altamente recomendável que você não os abra. Em vez disso, você deve entrar em contato com seus administradores de rede ou segurança e deixá-los examinar o anexo para determinar se eles são maliciosos ou não.
Via: BleepingComputer