E-mail falso da Amazon propaga nova variante do Emotet

A nova campanha tenta enganar os utilizadores com um e-mail falso que é enviado com o nome e sobrenome do utilizador. O intuito da fraude é infetar o dispositivo das vítimas através do Emotet.

Quase um mês depois das fraudes e ameaças relacionadas a CiberMonday e BlackFriday, uma nova campanha está a utilizar o nome da Amazon para propagar uma nova variante do Emotet.

Neste caso, a fraude começa com um e-mail que, ao contrário de outros casos de phishing e roubo de credenciais através de sites falsos, não contém um link para uma página na qual o utilizador deve inserir seus dados, envia simplesmente um e-mail com informações sobre uma compra no site da Amazon.

É interessante analisar o e-mail utilizado para a fraude, já que a mensagem não só tem um design muito semelhante aos originais enviados pela Amazon, mas também inclui nome e sobrenome da vítima (dados que, provavelmente, são obtidos a partir do endereço de e-mail ou algum tipo de perda de informações).

Embora, à primeira vista, o e-mail pareça ser autêntico e venha de um endereço genuíno, a verdade é que, ao exibir os detalhes do remetente, verificamos que o remetente da mensagem é de um endereço que não tem nada a ver com o domínio da Amazon. Encontramos assim o primeiro indício de que se trata de uma fraude.

Como referimos no início deste post, ao contrário dos e-mails normalmente associados a campanhas de phishing e outros golpes, neste caso o utilizador não é instigado a fornecer informações, nem é instruído a clicar em algum link para resolver um problema, muito menos realizar o download de um anexo. O golpe procura passar o mais despercebido possível e por isso tenta despertar a curiosidade do utilizador que recebe um simples e-mail de confirmação para uma compra realizada.

A maioria das vítimas que recebem este e-mail criou, em algum momento, uma conta na Amazon ou costuma realizar compras no portal, por isso a sua primeiro sensação é de que alguém roubou as suas credenciais e está a fazer compras com o seu perfil.

Apelando a essa preocupação e para o excelente design do e-mail, o hacker faz com que as vítimas cliquem nos links por detrás do número do pedido ou no botão “detalhe da compra”. E aqui encontramos o segundo indicador que confirma as suspeitas: o e-mail é uma farsa. Como podemos ver na imagem abaixo, o link não leva ao site da Amazon, mas a um domínio brasileiro que provavelmente é um site onde o invasor hospeda os seus arquivos maliciosos.

Se o utilizador clicar no botão “detalhe de compra”, nenhum site será aberto, mas um arquivo do Word será automaticamente descarregado com o suposto detalhe do pedido. 

Não é a primeira vez que são utilizados e-mails que utilizem links para download direto, de forma a evitar o anexo de arquivos maliciosos e, assim, enganar o antivírus instalado nos servidores de e-mail.

O arquivo descarregado é um trojan de download, que esconde uma macro que por sua vez descarrega o payload. Como o Office tem uma visualização protegida para impedir a execução de macros e outros componentes automaticamente, o arquivo faz um apelo à Engenharia Social para fazer com que o utilizador acredite que o mesmo foi criado numa versão anterior do Office e que deve, por isso, habilitar a edição para poder visualizar o conteúdo.

Ao analisar o código e o comportamento da macro do arquivo, verificamos algo idêntico ao que aconteceu há cerca de um mês quando se verificou uma campanha de propagação do Emotet. Assim, tal como já tinha sido verificado, o código refere-se a uma caixa de texto oculta no documento, em que os comandos e dados de conexão para o download e a execução do payload são encontrados.

A caixa de texto está escondida dentro do corpo do documento, no topo e em tamanho minúsculo (tivemos que ampliar a visualização para 500% para encontrá-la).

Ao expandir o tamanho da caixa de texto, podemos ver o conteúdo: os comandos de execução e os links nos quais o trojan faz o download do payload:

No momento da análise, apenas dois dos cinco links encontrados no documento permaneceram ativos. A partir desses links, o trojan faz o download de dois executáveis que são uma nova variante do Emotet. Detetamos essas novas variantes a partir da assinatura Win32/GenKryptik.CULQ, o que aumenta a longa lista de variantes do Emotet que já foram detetadas. Nesse caso, os hashes SHA-1 associados a essa deteção são:

SHA-1
d77a2facc587b5242abf7e9063fc7204f67771e9
89cf347e05d9bdfcfe9a5ffba35fc448d4b15b73

O trojan Emotet é caracterizado pela sua constante mutação(portanto, continuamos a encontrar novas variantes) e realizando a contenção de payloads de diferentes famílias de trojans bancários e spywares que pretendem roubar informações do utilizador. É interessante a análise deste caso, já que o hacker procura ir além do Phishing tradicional, combinando diferentes técnicas de propagação e fraude para fazer com que a sua vítima clique num link, execute um arquivo e finalmente o código malicioso consiga comprometer o dispositivo e roubar dados confidenciais.

O ideal é que os utilizadores não cliquem em nenhum link incluído em e-mails não solicitados. Em caso de dúvida, entre diretamente no portal em questão e, acima de tudo, use soluções de segurança atualizadas para estar protegido contra as ameaças mais recentes.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

one × two =