Emotet testa novas técnicas de ataque: Seria um sinal do que está por vir?

O notório grupo de ameaças Emotet foi detectado testando técnicas de ataque novas e significativamente diferentes, potencialmente em preparação para campanhas maiores ou ataques seletivos e limitados, de acordo com pesquisa da Proofpoint, fornecedora de segurança cibernética. A empresa afirmou que a atividade ocorreu enquanto o prolífico agente de ameaças de botnet e Trojan estava em um período de hiato e não conduzia suas típicas campanhas de alto volume.

Nova atividade de ataque Emotet é um desvio dos comportamentos típicos

O Emotet tem como alvo as plataformas Windows para distribuir malware subsequente e foi considerado uma das ameaças cibernéticas mais prolíficas antes de sua interrupção pela aplicação da lei global em janeiro de 2021. Após um desaparecimento de 10 meses do cenário de ameaças, o grupo ressurgiu em novembro de 2021 e desde então tem como alvo milhares de usuários em várias regiões geográficas. Em alguns casos, o volume de mensagens maliciosas usadas em campanhas individuais atingiu mais de um milhão, afirmou a Proofpoint. No entanto, a atividade detectada entre 4 e 19 de abril de 2022 significa um desvio significativo dos comportamentos de ataque típicos do Emotet e é atribuída ao agente de ameaça TA542.

A Proofpoint detectou um baixo volume de e-mails distribuindo o Emotet e os e-mails do remetente pareciam estar comprometidos. Os e-mails não foram enviados pelo módulo de spam do Emotet. “Os corpos de e-mail continham apenas URLs do OneDrive e nenhum outro conteúdo. Os arquivos zip hospedados nas URLs do OneDrive que contêm arquivos XLL (Suplemento do Microsoft Excel). Os arquivos zip e os arquivos XLL usavam as mesmas iscas que os assuntos do e-mail, como “Salary_new.zip”. Este arquivo em particular continha quatro cópias do mesmo arquivo XLL com nomes como “Salary_and_bonuses-04.01.2022.xll”. Os arquivos XLL, quando executados, soltam e executam o Emotet aproveitando o botnet Epoch 4”.

Várias diferenças detectadas nos TTPs de ataque do Emotet

A Proofpoint afirmou que a atividade difere das campanhas Emotet observadas anteriormente das seguintes maneiras:

A natureza de baixo volume da atividade. Normalmente, a Emotet distribui campanhas de e-mail de alto volume para muitos clientes em todo o mundo, com algumas campanhas nas últimas semanas atingindo um total de um milhão de mensagens.
O uso de URLs do OneDrive. Normalmente, o Emotet fornece anexos ou URLs do Microsoft Office (hospedados em sites comprometidos) com links para arquivos do Office.
O uso de arquivos XLL. Normalmente, o Emotet usa documentos do Microsoft Excel ou Word contendo macros VBA ou XL4. XLLs são um tipo de arquivo de biblioteca de vínculo dinâmico (DLL) para Excel e são projetados para aumentar a funcionalidade do aplicativo.

“Os analistas da Proofpoint atribuem essa atividade com alta confiança ao agente de ameaças TA542, porque desde 2014 o agente controlava de perto o malware Emotet e não o alugou para outros agentes”, acrescentou a empresa de segurança cibernética.

Empresas devem implementar defesas à medida que o Emotet adapta os métodos de ataque

Comentando as descobertas, Sherrod DeGrippo, Vice-Presidente de Pesquisa e Detecção de Ameaças da Proofpoint, disse: “Após meses de atividade consistente, o Emotet está mudando as coisas. É provável que o agente da ameaça esteja testando novos comportamentos em pequena escala antes de entregá-los às vítimas de forma mais ampla ou distribuir por meio de novos TTPs junto com suas campanhas de alto volume existentes. As organizações devem estar cientes das novas técnicas e garantir que estejam implementando defesas de acordo”.

A Proofpoint também observou o interesse do TA542 em novas técnicas que não dependem de documentos habilitados para macro com a Microsoft, tornando cada vez mais difícil para os agentes de ameaças usar macros como vetor de infecção. Em fevereiro, a Microsoft anunciou que começaria a bloquear macros do Visual Basic for Application (VBA) obtidas da Internet por padrão em abril.