A Netskope foi nomeada Líder no Quadrante Mágico do Gartner™ de 2022 para Security Service Edge. Obtenha o Relatório

  • Plataforma

    Visibilidade incomparável e proteção de dados e contra ameaças em tempo real na maior nuvem privada de segurança do mundo.

  • Produtos

    Os produtos Netskope são construídos na Netskope Security Cloud.

A Netskope oferece uma pilha de segurança na nuvem moderna, com capacidade unificada para proteção de dados e ameaças, além de acesso privado seguro.

Explore a nossa plataforma
Birds eye view metropolitan city

Netskope é nomeada Líder no Relatório do Quadrante Mágico™ do Gartner de 2022 para SSE

Obtenha o Relatório Vá para a plataforma
Netskope gartner mq 2022 sse leader

Mude para serviços de segurança na nuvem líderes de mercado com latência mínima e alta confiabilidade.

Saiba mais
Lighted highway through mountainside switchbacks

Previna ameaças que muitas vezes contornam outras soluções de segurança usando uma estrutura SSE de passagem única.

Saiba mais
Lighting storm over metropolitan area

Soluções de zero trust para a implementação de SSE e SASE

Saiba mais
Boat driving through open sea

A Netskope permite uma jornada segura, inteligente e rápida para a adoção de serviços em nuvem, aplicações e infraestrutura de nuvem pública.

Saiba mais
Wind turbines along cliffside
  • Customer Success

    Proteja a sua jornada de transformação digital e aproveite ao máximo as suas aplicações na nuvem, na web e privadas.

  • Atendimento ao cliente

    Suporte proativo e o compromisso em otimizar seu ambiente da Netskope e acelerar seu sucesso.

  • Treinamento e certificação

    Os treinamentos da Netskope vão ajudar você a ser um especialista em segurança na nuvem.

Confie na Netskope para ajudar você a enfrentar ameaças emergentes, novos riscos, mudanças tecnológicas, mudanças organizacionais e de rede, e novos requisitos regulatórios.

Saiba mais
Woman smiling with glasses looking out window

Contamos com engenheiros qualificados no mundo todo, com experiências variadas em segurança na nuvem, redes, virtualização, entrega de conteúdo e desenvolvimento de software, prontos para prestar assistência técnica oportuna e de alta qualidade.

Saiba mais
Bearded man wearing headset working on computer

Proteja sua jornada de transformação digital e aproveite ao máximo seus aplicativos de nuvem, web e privados com o treinamento da Netskope.

Saiba mais
Group of young professionals working
  • Recursos

    Saiba mais sobre como a Netskope pode ajudá-lo a proteger sua jornada para a nuvem.

  • Blog

    Saiba como a Netskope viabiliza a segurança e a transformação de redes através do security service edge (SSE).

  • Eventos e workshops

    Esteja atualizado sobre as últimas tendências de segurança e conecte-se com seus pares.

  • Security Defined

    Tudo o que você precisa saber em nossa enciclopédia de segurança cibernética.

Podcast Security Visionaries

Episódio bônus: a importância do Security Service Edge (SSE)

Reproduzir o podcast
Black man sitting in conference meeting

Leia as últimas novidades sobre como a Netskope pode viabilizar a jornada Zero Trust e SASE por meio dos recursos do security service edge (SSE).

Leia o Blog
Sunrise and cloudy sky

Trabalho Híbrido Netskope

Esta série de webinars destaca o impacto do trabalho híbrido em seu negócio, assegurando seu talento, aplicativos e dados a qualquer hora e em qualquer lugar.

Registrar
Série Webinar: O impacto do trabalho híbrido em seu negócio

O que é o Security Service Edge?

Explore o lado de segurança de SASE, o futuro da rede e proteção na nuvem.

Saiba mais
Four-way roundabout
  • Empresa

    Ajudamos você a antecipar os desafios da nuvem, dos dados e da segurança da rede.

  • Por que Netskope

    A transformação da nuvem e o trabalho em qualquer lugar mudaram a forma como a segurança precisa funcionar.

  • Liderança

    Nossa equipe de liderança está fortemente comprometida em fazer tudo o que for preciso para tornar nossos clientes bem-sucedidos.

  • Parceiros

    Fazemos parceria com líderes de segurança para ajudá-lo a proteger sua jornada para a nuvem.

A Netskope possibilita o futuro do trabalho.

Saiba mais
Curvy road through wooded area

A Netskope está redefinindo a nuvem, os dados e a segurança da rede para ajudar as organizações a aplicar os princípios de Zero Trust para proteger os dados.

Saiba mais
Switchback road atop a cliffside

Pensadores, construtores, sonhadores, inovadores. Juntos, fornecemos soluções de segurança na nuvem de última geração para ajudar nossos clientes a proteger seus dados e seu pessoal.

Meet our team
Group of hikers scaling a snowy mountain

A estratégia de comercialização da Netskope, focada em Parcerias, permite que nossos Parceiros maximizem seu crescimento e lucratividade enquanto transformam a segurança corporativa.

Saiba mais
Group of diverse young professionals smiling
Blog Threat Labs Emotet: Ainda explora as Macros do Microsoft Office
Jun 27 2022

Emotet: Ainda explora as Macros do Microsoft Office

Sumário

Em abril de 2022, o Netskope Threat Labs analisou uma campanha do Emotet que estava usando arquivos LNK em vez de documentos do Microsoft Office, provavelmente como uma resposta às proteções lançadas pela Microsoft em 2022, para mitigar ataques via Excel 4.0 (XLM) e macros VBA.

Entretanto, recentemente nos deparamos com centenas de documentos maliciosos do Office que estão sendo usados para baixar e executar o Emotet, indicando que alguns atacantes ainda estão usando métodos antigos de entrega. Apesar da proteção lançada pela Microsoft em 2022 para impedir a execução das macros do Excel 4.0 (XLM), este ataque ainda é viável contra usuários que estão usando versões desatualizadas do Office. Também é viável contra usuários que alteraram a configuração padrão para habilitar macros. O fato de os atacantes ainda estarem usando macros do Excel 4.0 indica que versões desatualizadas do Office e usuários que têm esta proteção desabilitada ainda são comuns

Screenshot of option to enable Excel 4.0 Macros.
Opção para habilitar as Macros do Excel 4.0.

Ao pesquisar por arquivos semelhantes no VirusTotal, encontramos 776 planilhas maliciosas enviadas entre 9 de junho de 2022 e 21 de junho de 2022, que utilizaram as macros do Excel 4.0 (XLM) para baixar e executar a carga maliciosa do Emotet. A maioria dos arquivos compartilham as mesmas URLs e alguns metadados. Extraímos 18 URLs das 776 amostras, e quatro delas ainda estavam online e distribuindo o malware.

Graph showing submission timeline for Emotet spreadsheets on VirusTotal.
Cronograma de envio de planilhas com Emotet no VirusTotal

Neste blog post, analisaremos esta campanha do Emotet, mostrando o mecanismo de entrega até a última carga útil.

Etapa 01 – Planilhas maliciosas

A primeira etapa é uma planilha maliciosa que abusa das macros do Excel 4.0 (XLM) para baixar e executar o Emotet. Estes arquivos estão sendo entregues como anexos de e-mail.

Examples of phishing emails with malicious spreadsheets attached.
E-mails de phishing com planilhas maliciosas anexadas.

Há também casos em que a planilha é anexada dentro de um arquivo ZIP protegido por senha.

A planilha contém uma mensagem para atrair o usuário a remover a visualização protegida, clicando no botão "Habilitar Edição"

Example of spreadsheet message asking to click “Enable Editing”.
Mensagem na planilha pedindo para o usuário clicar em "Habilitar edição".

O código malicioso é ofuscado e se espalha por planilhas e células ocultas.

Screenshot of part of the Excel 4.0 Macros.
Parte das Macros do Excel 4.0.

O código faz o download da carga útil de uma URL externa através da API "URLDownloadToFileA" e a executa com "regsvr32.exe", que é um binário comum usado para a técnica Living-off-the-Land.

Screenshot of deobfuscated code from the spreadsheet.
Código desobfuscado da planilha.

Além disso, a maioria dos arquivos que analisamos eram de autoria de "Dream" e foram salvos pela última vez por "RHRSDJTJDGHT" ou "TYHRETH", o que indicava serem do mesmo autor. 

Screenshot of common metadata across the spreadsheets.
Metadados comuns em todas as planilhas.

Etapa 02 – Desempacotando o Emotet

Conseguimos baixar amostras de quatro URLs diferentes, das 18 extraídas nas planilhas. Dois dos arquivos baixados estavam extraindo a mesma carga útil do Emotet.

Example of four payloads downloaded from the spreadsheet URLs.
Quatro cargas úteis baixadas das URLs das planilhas.

A principal carga útil do Emotet é codificada e armazenada nos recursos de PE do loader, que é o mesmo caso de outras amostras embaladas do Emotet que analisamos anteriormente em 2022.

Screenshot of Emotet’s main payload stored in the PE resources.
A principal carga útil do Emotet armazenada nos recursos do PE.

O processo de desempactação também é muito semelhante às amostras que analisamos anteriormente em 2022, onde uma chave é usada em um algoritmo XOR simples de rolagem.

Example of Emotet decryption process.
Processo de decriptação do Emotet.

Etapa 03 – Carga do Emotet

Extraímos três cargas úteis diferentes (DLLs de 64 bits) das amostras que baixamos das URLs. 

Screenshot of main Emotet payloads
Principais cargas úteis do Emotet.

Podemos encontrar algumas semelhanças ao comparar estas cargas úteis com as que analisamos em abril de 2022, como o padrão utilizado no nome DLL.

Screenshot of real name for all three samples is “E.dll”.
O nome verdadeiro para as três amostras é "E.dll".

E também o mecanismo de persistência via serviço Windows que executa a carga útil via regsvr32.exe.

Screenshot of Emotet persistence mechanism.
Mecanismo de persistência do Emotet.

Entretanto, há algumas diferenças entre estas cargas úteis e as que analisamos em abril de 2022. A primeira é onde e como o Emotet descompacta suas strings. Em cargas úteis anteriores, o Emotet estava armazenando suas strings na seção de texto do PE.

Nessas últimas cargas úteis, o Emotet usa funções para recuperar strings descompactadas. Simplificando, o atacante está usando o conceito de empilhar strings, que são passadas por parâmetro para a função que realiza o processo de descompactação.

Screenshot of Emotet function to return a decrypted string.
Função Emotet para retornar uma string descriptografada.

As strings descriptografadas podem ser facilmente recuperadas colocando pontos de parada no retorno destas funções. Também é possível usar um Python script para extrair automaticamente estes dados usando o Dumpulator ou qualquer outro framework de emulação.

Screenshot of Emotet decrypted strings.
Strings descriptografadas do Emotet

Os endereços C2 também são recuperados de uma maneira diferente nestas cargas úteis. Em vez de armazenar esses dados na seção PE .data, o Emotet analisa os endereços C2 também por meio de funções.

Example of Emotet parsing the C2 server addresses.
Emotet analisando os endereços do servidor C2.

E também é possível extrair estas informações estaticamente usando um roteiro de emulação, semelhante ao usado para as strings.

Screenshot of part of Emotet C2 server addresses.
Parte dos endereços do servidor Emotet C2.

Conclusões

Em abril de 2022 analisamos uma campanha do Emotet que não estava usando arquivos do Microsoft Office para se espalhar, como uma possível resposta às proteções da Microsoft. No entanto, ainda vemos alguns atacantes usando arquivos do Microsoft Office para baixar e executar o Emotet. Recomendamos fortemente aos usuários que atualizem o Microsoft Office para suas versões mais recentes. Além disso, os administradores de TI também podem bloquear completamente as Macros do Excel 4.0 (XLM) através do Group Policy.

Proteção

O Netskope Threat Labs está monitorando ativamente esta campanha e garantiu cobertura para todos os indicadores de ameaças e cargas conhecidas. 

  • Netskope Threat Protection
    • Document-Excel.Trojan.Emotet
    • Win64.Trojan.Emotet
  • A Netskope Advanced Protection oferece cobertura proativa contra essa ameaça.
    • Gen.Malware.Detect.By.StHeur indica uma amostra que foi detectada usando análise estática
    • Gen.Malware.Detect.By.Sandbox indica uma amostra que foi detectada por nosso sandbox na nuvem

IOCs

Todos os indicadores de comprometimento (IOCs) relacionados a esta campanha, scripts e regras Yara podem ser encontrados no repositório GitHub da Netskope.

author image
Sobre o autor
Gustavo Palazolo é especialista em análise de malware, engenharia reversa e pesquisa de segurança, atuando há muitos anos em projetos relacionados à proteção contra fraudes eletrônicas. Atualmente, ele está trabalhando na Equipe de Pesquisa da Netskope, descobrindo e analisando novas ameaças de malware.
Gustavo Palazolo é especialista em análise de malware, engenharia reversa e pesquisa de segurança, atuando há muitos anos em projetos relacionados à proteção contra fraudes eletrônicas. Atualmente, ele está trabalhando na Equipe de Pesquisa da Netskope, descobrindo e analisando novas ameaças de malware.