This post is also available in: Português Español
Conhecido por seus truques e táticas inovadoras, o botnet Emotet está mais uma vez em alta com uma nova técnica de ataque com um clique que aproveita arquivos RAR de desbloqueio automático.
Pesquisadores da empresa de segurança cibernética Trustwave, identificaram um aumento nas ameaças empacotadas em arquivos ZIP protegidos por senha. O Emotet é um dos maiores distribuidores desses pacotes maliciosos, entregando cerca de 96% dos pacotes, usando um truque inovador.
Na última onda de ataques, os invasores estão usando iscas de phishing com temas de fatura com arquivos protegidos por senha.
Esses arquivos contem um arquivo de extração automática aninhado (SFX) que pode atuar como um canal para iniciar o segundo. Esses arquivos requerem apenas um clique e nenhuma entrada de senha é necessária para comprometer um alvo.
Fonte: TrustWave.
Um desses arquivos SFX foi observado usando um ícone PDF ou Excel para parecer legítimo e contém componentes como um arquivo em lote, arquivo RARsfx e imagens ou arquivo PDF.
Fonte: TrustWave.
Detalhes da carga útil
Segundo os especialistas, as cargas úteis observadas nesta campanha são CoinMiner e Qasar RAT.
O CoinMiner é um malware que usa os recursos dos sistemas infectados para minerar criptomoedas. O malware também pode roubar credenciais dos usuários, além de coletar informações do dispositivo, incluindo especificações de hardware e softwares.
Fonte: TrustWave.
A outra carga útil, o Qasar RAT, é um trojan de código aberto, baseado em .NET, com recursos poderosos. O Qasar é disponibilizado publicamente no GitHub.
A adoção dessa tática de utilizar arquivos protegidos por senha e o recurso de extração automática pelo Emotet, é uma clara red flag para usuários finais e profissionais de segurança cibernética.
Essa nova tática de ataque permite que os agentes de ameaças executem uma infinidade de ataques, como roubo de criptografia, roubo de dados, ransomware, entre outros.
Fonte: TrustWave, TheHackerNews.