O malware Emotet agora é distribuído por meio de anexos de e-mail do Microsoft OneNote, visando contornar as restrições de segurança da Microsoft e infectar mais alvos.
O Emotet é um botnet de malware notório historicamente distribuído por meio de anexos do Microsoft Word e Excel que contêm macros maliciosas.
Se um usuário abrir o anexo e habilitar as macros, um DLL será baixado e executado, instalando o malware Emotet no dispositivo.
Uma vez carregado, o malware roubará contatos de e-mail e conteúdo de e-mail para uso em futuras campanhas de spam.
Ele também baixará outros payloads que fornecem acesso inicial à rede corporativa.
Esse acesso é usado para realizar ciberataques contra a empresa, que podem incluir ataques de ransomware, roubo de dados, espionagem cibernética e extorsão.
Embora o Emotet tenha sido um dos malwares mais distribuídos no passado, ao longo do último ano, ele parou e iniciou em surtos, acabando por dar uma pausa no final de 2022.
Depois de três meses de inatividade, o botnet Emotet de repente voltou a funcionar, espalhando e-mails maliciosos em todo o mundo no início deste mês.
No entanto, esta campanha inicial foi falha, pois continuou a usar documentos do Word e Excel com macros.
Como a Microsoft agora bloqueia automaticamente as macros em documentos do Word e Excel baixados, incluindo aqueles anexados a e-mails, essa campanha infectaria apenas algumas pessoas.
Devido a isso, o BleepingComputer previu que o Emotet mudaria para arquivos do Microsoft OneNote, que se tornaram um método popular para distribuir malware depois que a Microsoft começou a bloquear macros.
Como previsto, em uma campanha de spam do Emotet primeiro vista pelo pesquisador de segurança abel, os atores da ameaça agora começaram a distribuir o malware Emotet usando anexos maliciosos do Microsoft OneNote.
Esses anexos são distribuídos em e-mails de cadeia de resposta que se fazem passar por guias, tutoriais, faturas, referências de trabalho e outros.
Anexados ao e-mail estão documentos do Microsoft OneNote que exibem uma mensagem informando que o documento está protegido.
Ele então solicita que você clique duas vezes no botão "Visualizar" para exibir o documento corretamente.
O Microsoft OneNote permite que você crie documentos que contenham elementos de design que sobreponham um documento incorporado.
No entanto, ao clicar duas vezes no local em que o arquivo incorporado está localizado, mesmo que haja um elemento de design sobre ele, o arquivo será iniciado.
Nesta campanha de malware Emotet, os atores da ameaça esconderam um arquivo VBScript malicioso chamado "click.wsf" sob o botão "Visualizar", como mostrado abaixo.
Este VBScript contém um script fortemente ofuscado que baixa um DLL de um site remoto, provavelmente comprometido, e o executa.
Embora o Microsoft OneNote exiba um aviso quando um usuário tenta iniciar um arquivo incorporado no OneNote, a história nos mostrou que muitos usuários comumente clicam nos botões 'OK' para se livrar do alerta.
Se o usuário clicar no botão OK, o arquivo VBScript incorporado "click.wsf" será executado usando o WScript.exe da pasta Temp do OneNote, que provavelmente será diferente para cada usuário.
O script então baixará o malware Emotet como um DLL [VirusTotal] e o armazenará na mesma pasta Temp.
Ele então iniciará o DLL com nome aleatório usando o regsvr32.exe.
O Emotet agora será executado silenciosamente no dispositivo, roubando e-mails, contatos e aguardando mais comandos do servidor de controle e comando.
Embora não se saiba quais payloads essa campanha finalmente soltará, geralmente leva à instalação do Cobalt Strike ou outro malware.
Esses payloads permitem que os atores da ameaça trabalhando com o Emotet ganhem acesso ao dispositivo e o usem como trampolim para se espalhar ainda mais na rede.
O Microsoft OneNote se tornou um enorme problema de distribuição de malware, com várias campanhas de malware usando esses anexos.
Devido a isso, a Microsoft adicionará proteções aprimoradas no OneNote contra documentos de phishing, mas não há um cronograma específico para quando isso estará disponível para todos.
No entanto, os administradores do Windows podem configurar políticas de grupo para proteger contra arquivos maliciosos do Microsoft OneNote.
Os administradores podem usar essas políticas de grupo para bloquear completamente arquivos incorporados no Microsoft OneNote ou permitir que você especifique extensões de arquivo específicas que devem ser bloqueadas de execução.
É altamente recomendável que os administradores do Windows utilizem uma dessas opções até que a Microsoft adicione mais proteções ao OneNote.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...