Atacantes Enviando E-mails de Phishing do IRS para Instalar Malware Emotett

Em uma descoberta, pesquisadores de segurança da Malwarebytes e da unidade 42 da Palo Alto Networks encontraram o malware Emotet visando usuários com e-mails de phishing contendo anexos falsos do formulário W-9.

O Emotet é uma infecção de malware infame que é distribuída através de e-mails de phishing que anteriormente continham documentos do Microsoft Word e Microsoft Excel com macros maliciosas que instalavam o malware.

No entanto, como a Microsoft agora bloqueia as macros por padrão em documentos do Microsoft Word baixados, o malware Emotet mudou para o Microsoft OneNote com scripts incorporados para instalar o malware Emolett.

Os atacantes que operam o Emotet geralmente usam campanhas de phishing temáticas para coincidir com os feriados e as declarações de impostos anuais, ou seja, a temporada de impostos nos EUA. Quanto à campanha de phishing encontrada pela Malwarebytes, os atacantes enviam e-mails com o assunto “Formulário de Imposto TRS W-9” enquanto se passam por uma autoridade do Serviço de Renda Interna.

Leia: Malware Comum Magic & Power Magic Usado em Ataques de Vigilância Avançados

Esses e-mails de phishing têm um arquivo ZIP chamado W-9 form.zip que contém um documento do Word malicioso. O documento foi inflado para 500MB para dificultar a detecção pelo software de segurança se é malicioso.

Assim que o Emotet é instalado, o malware começa a roubar os e-mails da vítima para sua futura cadeia de ataques de replay e então envia e-mails em massa e, no final, instala outro malware que dá acesso inicial a outros atores de ameaça também.

Dito isso, como a Microsoft agora bloqueia macros por padrão, os usuários são menos propensos a passar pelo trabalho e habilitar macros e se infectar por documentos do Word.

Agora, na atividade de phishing encontrada pela Unidade 42 da Palo Alto, os atacantes contornam essas restrições usando um Documento do Microsoft OneNote com os arquivos VBScript habilitados que instalam o malware.

Depois disso, a atividade de phishing utiliza o e-mail da cadeia de replay, que finge ser os parceiros de negócios enviando às vítimas o formulário W-9.

O Documento do OneNote anexado fará parecer que está protegido e solicita ao usuário que clique duas vezes para visualizar o documento corretamente, embora o que esteja escondido dentro seja o botão Visualizar que contém VBScripts que serão lançados em vez disso.

Ao abrir o arquivo VBScript incorporado, o Microsoft OneNote avisa o usuário de que o arquivo pode ser malicioso, mas, infelizmente, como sabemos, muitos usuários simplesmente ignoram esses avisos e permitem que os arquivos sejam executados. Uma vez que os arquivos são executados, o VBScript fará o download do DLL do Emotet e o executará usando o regsvr32.exe.

Depois disso, o malware roda silenciosamente em segundo plano, roubando e-mails e contatos e então aguardando um novo payload para ser instalado no dispositivo.

Portanto, se você receber algum e-mail que afirma ter o formulário W-9 ou de qualquer outro formulário de imposto, simplesmente escaneie o documento primeiro com um software antivírus.

Além disso, esses formulários são enviados como anexos PDF, não como anexos do Word, então evite abri-los e habilitar macros e, em vez disso, exclua os e-mails.

Leia: Atualização de Cibersegurança da Fortinet Falha; Zero-Day Explorados por Atores de Ameaça