E-mail falso da Amazon propaga nova variante do Emotet

E-mail falso da Amazon propaga nova variante do Emotet

A nova campanha tenta enganar os usuários com um e-mail falso que chega com o nome e sobrenome do usuário. O intuito da fraude é infectar o dispositivo das vítimas através do trojan Emotet.

A nova campanha tenta enganar os usuários com um e-mail falso que chega com o nome e sobrenome do usuário. O intuito da fraude é infectar o dispositivo das vítimas através do trojan Emotet.

Quase um mês depois das fraudes e ameaças relacionadas com as ofertas on-line da CiberMonday e BlackFriday, uma nova campanha está utilizando o nome da empresa Amazon para propagar uma nova variante do trojan Emotet.

Nesse caso, a fraude começa com um e-mail que, diferentemente de outros casos relacionadas a phishing e roubo de credenciais através de sites falsos, não contém um link para uma página na qual o usuário deve inserir seus dados, mas que simplesmente envie informações sobre uma compra no site da Amazon.

É interessante analisar o e-mail utilizado para a fraude, já que a mensagem não só tem um design muito semelhante aos originais enviados pela Amazon, mas também vem com o nome e sobrenome da vítima (dados que provavelmente são obtidos a partir do endereço de e-mail ou algum vazamento de informações).

Imagem 1: E-mail falso que se passa pela Amazon.

Embora, à primeira vista, o e-mail pareça ser autêntico e venha de um endereço genuíno, a verdade é que, ao exibir os detalhes do remetente, podemos ver que a mensagem está realmente sendo enviada de um endereço que não tem nada a ver com o domínio da Amazon. Encontramos então o primeiro indício de que se trata de uma fraude.

Imagem 2: O endereço real desde o qual o email é enviado não pertence a Amazon.

Como destacamos no início deste post, ao contrário dos e-mails normalmente associados a campanhas de phishing e outros golpes, neste caso o usuário não é instigado a fornecer informações, nem é instruído a clicar em um link para resolver um problema, muito menos realizar o download de um anexo. O golpe procura passar o mais despercebido possível e por isso tenta despertar a curiosidade do usuário que recebe um simples e-mail de confirmação para uma compra realizada.

A maioria das vítimas que recebem este e-mail em algum momento criaram uma conta na Amazon ou costumam realizar compras no portal, por isso a primeiro sensação da vítima é que alguém roubou suas credenciais e está fazendo compras a partir de seu perfil. Apelando para essa preocupação e para o excelente design do e-mail, o cibercriminoso faz com que as vítimas cliquem nos links por trás do número do pedido ou no botão “detalhe da compra”. Aqui encontramos o segundo indicador que confirma as suspeitas: o e-mail é uma farsa. Como podemos ver na imagem abaixo, o link não leva ao site da Amazon, mas a um domínio brasileiro que provavelmente é um site comprometida onde o invasor hospeda seus arquivos maliciosos.

Imagem 3: Link para um domínio que não corresponde ao site da Amazon.

Se o usuário clicar no botão “detalhe de compra”, nenhum site será aberto, mas um arquivo do Word será automaticamente baixado com o suposto detalhe do pedido. Não é a primeira vez que observamos e-mails que usam links de download diretos para evitar o anexo de arquivos maliciosos e, assim, burlar a proteção antivírus dos servidores de e-mail.

O arquivo baixado é um trojan de download, que esconde uma macro que baixa o payload. Como o pacote do Office tem uma visualização protegida para impedir a execução de macros e outros componentes automaticamente, o arquivo faz um apelo à Engenharia Social para fazer com que o usuário possa acreditar que ele foi criado em uma versão anterior do Office e deve habilitar a edição para poder visualizar o conteúdo.

Imagem 4: Visualização protegida do trojan.

Ao analisar o código e o comportamento da macro do arquivo, ocorre quase o mesmo que vimos há apenas um mês quando analisamos uma campanha de propagação do trojan Emotet. Assim como naquela ocasião, o código se refere a uma caixa de texto oculta no documento, em que os comandos e dados de conexão para o download e a execução do payload são encontrados.

Imagem 5: Macro maliciosa.

A caixa de texto está escondida dentro do corpo do documento, no topo e em um tamanho minúsculo (tivemos que ampliar a visualização para 500% para encontrá-la).

Imagem 6: Text Box minúscula escondido no documento.

Ao expandir o tamanho da caixa de texto, podemos ver o conteúdo: os comandos de execução e os links nos quais o trojan faz o download do payload:

Imagem 7: Quadro de texto estendido com informações de download e execução.

No momento da análise, apenas dois dos cinco links encontrados no documento permaneceram ativos. A partir desses links, o trojan faz o download de dois executáveis ​​que são uma nova variante do Emotet. Detectamos essas novas variantes a partir da assinatura Win32/GenKryptik.CULQ, o que aumenta a longa lista de variantes do Emotet que já foram detectadas. Nesse caso, os hashes SHA-1 associados a essa detecção são:

SHA-1
d77a2facc587b5242abf7e9063fc7204f67771e9
89cf347e05d9bdfcfe9a5ffba35fc448d4b15b73

O trojan Emotet é caracterizado por sua constante mutação (portanto, continuamos encontrando novas variantes) e realizando a contenção de payloads de diferentes famílias de trojans bancários e spywares que buscam roubar informações do usuário. É interessante a análise deste caso, já que o cibercriminoso busca ir além do Phishing tradicional, combinando diferentes técnicas de propagação e fraude para fazer com que sua vítima clique em um link, execute um arquivo e finalmente o código malicioso consiga comprometer o dispositivo e coletar os dados confidenciais.

O ideal é que os usuários não cliquem em nenhum link que venha de e-mails não solicitados. Em caso de dúvida, entre diretamente no portal em questão e, acima de tudo, use soluções de segurança atualizadas para estar protegido contra as ameaças mais recentes.

Discussão