Emotet retorna com novas táticas de evasão
Desde a sua criação em 2014, o Emotet continuou a evoluir constantemente, adicionando várias novas táticas e técnicas para aumentar sua probabilidade de infecção bem-sucedida. A mais recente adição ao seu arsenal é uma nova técnica de evasão para induzir os usuários a permitir que macros baixem o conta-gotas.
Nova isca
Conforme observado por pesquisadores da BlackBerry, as operadoras de Emotet estão usando arquivos .xls nessa nova onda de ataques de phishing.
- Quando um usuário baixa um anexo .xls do e-mail de phishing, ele solicita que ele habilite as macros para baixar o conta-gotas Emotet.
- Como esses arquivos .xls são automaticamente confiáveis pela Microsoft, qualquer arquivo executado daqui em diante é automaticamente ignorado pela funcionalidade Protected View, permitindo que as macros sejam executadas sem qualquer impedimento.
Além disso, a nova variante do Emotet agora mudou de 32 bits para 64 bits como outro método para evitar a detecção.
Suas técnicas eficazes anteriores
Embora o Emotet aproveite principalmente os e-mails de phishing para infectar suas vítimas, várias outras táticas de evasão para eliminar o malware foram observadas recentemente.
- Em outubro, os pesquisadores da Trustwave identificaram um aumento sem precedentes em arquivos ZIP protegidos por senha que entregavam o trojan Emotet.
- Uma atualização da VMware Threat Analysis Unit revelou o uso do Emotet de mensagens de spam e URLs incorporados para evitar a detecção.
- Em setembro, o Emotet usou beacons Cobalt Strike que abriram caminho para infecções de ransomware Quantum e BlackCat.
Recomendações de segurança
Para se manter protegido contra o Emotet, os especialistas recomendam o uso de melhores soluções de segurança de e-mail, mecanismos de autenticação fortes e implementação de segmentação de rede. Sugere-se ainda aplicar patches de segurança para todos os softwares, firmware, plug-ins e sistemas operacionais regularmente.
Fonte: www.cyware.com
