Emotet está testando nova cadeia de ataque
Os operadores de botnet Emotet (rastreados como TA542) foram vistos testando novas técnicas de ataque depois que a Microsoft desativou as macros VBA por padrão.
Atualmente, a nova técnica é usada em alvos limitados, indicando que isso pode ser um teste.
A nova cadeia de ataque
Pesquisadores da Proofpoint revelaram que os operadores estão testando novas técnicas em ataques mais seletivos antes de adotá-las em seus habituais ataques de spam em grande escala.
- A campanha foi detectada entre 4 e 19 de abril. A atividade aconteceu enquanto o Emotet estava em férias de primavera, evitando campanhas típicas de ameaças de alto volume.
- A campanha recente usa a conta de um remetente comprometido e os e-mails não foram enviados pelo módulo de spam usual do Emotet.
Informações adicionais
- Os assuntos do email incluem palavras simples como ‘Salário’ e as mensagens incluem URLs do OneDrive apontando para arquivos zip carregados com arquivos de Suplemento do Excel.
- A execução dos arquivos do Excel Add-in (XLL) nos arquivos ZIP permite o descarte e a execução da carga útil do Emotet da botnet Epoch 4.
- O teste de diferentes cadeias de ataque é provavelmente uma tentativa de evitar a detecção e permanecer oculto.
Aparentemente, os invasores agora estão interessados em novas técnicas que não dependem de documentos habilitados para macro.
Conclusão
Logo após a Microsoft desabilitar as macros, os desenvolvedores do Emotet criaram novas maneiras de superá-lo, fornecendo uma indicação de seus esforços para permanecer no topo de seu jogo. Além disso, um ataque de baixo volume e o uso do OneDrive indicam ainda que eles estão testando suas atualizações e talvez planejando algo grande em um futuro próximo.
Fonte: www.cyware.com
