Mensagens falsas de coronavírus que espalham infecções por Emotet

Mensagens falsas de coronavírus que espalham infecções por Emotet. Cibercriminosos usam mensagens de emergência de saúde para espalhar malware.

Os cibercriminosos estão usando mensagens de email falsas sobre o coronavírus para espalhar o Emotet Trojan e outros malwares, de acordo com relatórios divulgados esta semana pela IBM e pela Kaspersky.

Na quinta-feira, a Organização Mundial de Saúde das Nações Unidas declarou o surto de coronavírus uma emergência de saúde pública. O vírus, que foi detectado pela primeira vez em Wuhan, na China, em dezembro, agora se espalhou para outras nações, incluindo os Estados Unidos.

O número de mortos pelo vírus chegou a 213 na sexta-feira, com mais de 9.600 infecções confirmadas em todo o mundo, informou a Reuters , citando dados da China e da Organização Mundial da Saúde.

Regiões segmentadas

O site Bank Info Security cita que nos casos que os pesquisadores do IBM X-Force descobriram, os e-mails, que contêm anexos maliciosos do Microsoft Word, concentram-se principalmente no Japão. Os cibercriminosos que espalham o Trojan Emotet aparentemente estão tentando atingir regiões mais próximas da China, onde o coronavírus se originou, mas é provável que suas táticas mudem para outros países nas próximas semanas, segundo a IBM.

Esperamos ver mais tráfego de email malicioso com base no coronavírus no futuro, à medida que a infecção se espalhar“, dizem os pesquisadores da IBM. “Nestas primeiras amostras, as vítimas japonesas provavelmente foram alvejadas devido à sua proximidade com a China. Infelizmente, é bastante comum os atores de ameaças explorarem emoções humanas básicas, como o medo – especialmente se um evento global já tiver causado terror e pânico“.

Os pesquisadores da Kaspersky também encontraram várias campanhas de spam usando avisos de coronavírus para atingir vítimas, de acordo com um relatório compartilhado com o Information Security Media Group. Em muitos casos, os analistas encontraram cibercriminosos tentando implantar vários cavalos de Troia nos dispositivos das vítimas.

Até agora, vimos apenas 10 arquivos exclusivos, mas como esse tipo de atividade geralmente acontece com tópicos populares da mídia, esperamos que essa tendência aumente“, diz Anton Ivanov, analista de malware da Kaspersky. “À medida que as pessoas continuam preocupadas com sua saúde, podemos ver mais e mais malwares ocultos em documentos falsos sobre a disseminação do coronavírus“.

Segmentação no Japão

Nos casos do Japão, os analistas da IBM observam que muitos dos emails são projetados para parecer originários de um provedor de serviços de assistência social por incapacidade naquele país.

Em um e-mail, os atacantes afirmam que o coronavírus foi detectado na região de Gifu, no Japão, enquanto outro menciona Osaka. Os atacantes parecem estar usando avisos e linguagem específicos para assustar os habitantes dessas áreas, aumentando a probabilidade de clicar no anexo, de acordo com a IBM. Os emails também terminam com um rodapé que menciona um endereço postal legítimo, além de um número de telefone e fax, afirma o relatório da IBM.

Cada um desses e-mails contém um documento do Word em anexo, retratado como oferecendo atualizações e informações de saúde, de acordo com a IBM. Se o anexo do arquivo for aberto e as macros do Office 365 ativadas, no entanto, um script de macro VBA ofuscado começará a ser executado em segundo plano, que instala um script do Powershell e baixa o Emotet Trojan, de acordo com a IBM.

Anteriormente, os e-mails japoneses do Emotet eram focados em notificações e faturas de pagamento no estilo corporativo, seguindo uma estratégia semelhante à dos e-mails direcionados às vítimas europeias. Essa nova abordagem para a entrega do Emotet pode ser significativamente mais bem-sucedida, devido ao amplo impacto do coronavírus e do medo de infecção ao seu redor “, diz o relatório da X-Force.

Emotet em ascensão

Nos últimos meses, pesquisadores de segurança e agências governamentais emitiram avisos sobre aumentos nos ataques de Emotet.

A USUS Cybersecurity and Infrastructure Security Agency recentemente alertou que houve um aumento nos ataques direcionados usando o Emotet

Embora o Emotet tenha começado sua vida como um Trojan bancário há cinco anos, seus desenvolvedores adicionaram funcionalidades, incluindo a criação do malware como conta-gotas, para que ele possa ser usado para instalar códigos maliciosos adicionais nos pontos de extremidade infectados, além de oferecer a capacidade vasculhar os PCs das vítimas para obter informações de contato. Além disso, outros invasores alugaram cada vez mais as botnets do Emotet para instalar outros malwares, incluindo o Trickbot e várias variedades de ransomware, de acordo com pesquisadores de segurança.

Depois que o malware é baixado, o Emotet usa o sistema infectado para enviar e-mails e spam de phishing adicionais, em um esforço para aumentar a botnet, de acordo com pesquisadores da Cofense .

Os invasores do Emotet também usaram e-mails sobre tópicos nas notícias para espalhar o malware também. Em setembro de 2019, por exemplo, os invasores usaram e-mails de phishing que alegavam conter uma versão das memórias de Edward Snowden, lançada uma semana antes, em um arquivo anexado do Microsoft Word. Uma vez baixado, macros maliciosos no documento acionado um comando PowerShell, que então baixavam o malware Emotet no dispositivo infectado 

O que é o Emotet?

Trojan bancário Emotet foi identificado pela primeira vez por pesquisadores de segurança em 2014. O Emotet foi originalmente projetado como um malware bancário que tentava invadir seu computador e roubar informações confidenciais e privadas. Versões posteriores do software viram a adição de serviços de entrega de spam e malware – incluindo outros cavalos de Troia bancários.

O Emotet usa funcionalidade que ajuda o software a evitar a detecção por alguns produtos anti-malware. O Emotet usa recursos semelhantes a worms para ajudar a se espalhar para outros computadores conectados. Isso ajuda na distribuição do malware. Essa funcionalidade levou o Departamento de Segurança Interna da Malwarebytes a concluir que o Emotet é um dos malwares mais dispendiosos e destrutivos, afetando setores governamentais e privados, indivíduos e organizações, e custando mais de US $ 1 milhão por incidente para limpeza.

O Emotet é um Trojan que se espalha principalmente por spam de e-mails. A infecção pode chegar por meio de script mal-intencionado, arquivos de documento habilitados para macro ou link malicioso. Os e-mails do Emotet podem conter marcas conhecidas, projetadas para parecer um e-mail legítimo. A Emotet pode tentar convencer os usuários a clicar nos arquivos maliciosos usualmente em uma linguagem tentadora sobre “Sua fatura”, “Detalhes do pagamento” ou possivelmente uma remessa futura de empresas de encomendas conhecidas.

Emotet passou por algumas iterações. As versões anteriores chegaram como um arquivo JavaScript malicioso. Versões posteriores evoluíram para usar documentos habilitados para macro para recuperar a carga útil do vírus nos servidores de comando e controle (C&C) executados pelos atacantes. 

O Emotet usa vários truques para tentar impedir a detecção e análise. Notavelmente, a Emotet sabe se está sendo executada dentro de uma máquina virtual (VM) e permanecerá inativa se detectar um ambiente sandbox, que é uma ferramenta que os pesquisadores de segurança cibernética usam para observar malware em um espaço seguro e controlado.

O Emotet também usa servidores C&C para receber atualizações. Isso funciona da mesma maneira que o sistema operacional é atualizado no seu PC e pode acontecer sem problemas e sem sinais externos. Isso permite que os atacantes instalem versões atualizadas do software, instalem malware adicional, como outros Trojans bancários, ou atuem como um depósito de informações roubadas, como credenciais financeiras, nomes de usuário e senhas e endereços de email.

 

Fonte: Bank Info Security & Malwarebytes

 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Mensagens falsas de coronavírus que espalham infecções por Emotet – Neotel Segurança Digital
  2. Microsoft emite aviso para milhões de usuários do Windows 10
  3. Porque o Smartphone monitorar sua localização é um problema!

Deixe sua opinião!