Notícias de dispositivos móveis, gadgets, aplicativos Android

Emotet usa formatos de endereço IP não convencionais para espalhar malware e malware. Detecção de Evasão

Numa recente campanha de malware Emotet em curso, foi identificado que os agentes de amea√ßas por detr√°s desta campanha maliciosa est√£o a utilizar formatos de endere√ßo IP n√£o convencionais pela primeira vez para confundir e enganar as solu√ß√Ķes de seguran√ßa.

Aqui, os agentes da amea√ßa usaram representa√ß√Ķes hexadecimais e octais do endere√ßo IP. Eles usam isso para iniciar a solicita√ß√£o dos servidores remotos para que o endere√ßo IP seja transformado na representa√ß√£o qu√°drupla decimal pontilhada.

Rotina usando endereço IP hexadecimal e octal

No roteamento hexadecimal, um Excel malicioso 4.0 As macros foram detectadas como um anexo de e-mail que permite ao invasor realizar e automatizar as tarefas repetitivas no Excel que s√£o manipuladas para entregar o malware.

Neste ponto, utilizando a macro auto_open o malware foi executado e, para ajudar todo o mecanismo, os invasores abusaram do recurso do documento malicioso.

Enquanto no roteamento octal, eles também fazem o mesmo que o roteamento hexadecimal, já que, neste caso, o Excel 4.0 Macros são usadas para executar o malware quando o documento malicioso é aberto e ativado.

Resumindo, com a ajuda dos sinais de intercalação, a URL fica ofuscada, mas o IP mantém uma representação octal.

A URL que √© ofuscada com sinais de intercala√ß√£o (‚Äúh^tt^p^:/^/0xc12a24f5/cc.html‚ÄĚ), quando a v√≠tima √© enganada e ativa as macros de documentos maliciosos. Enquanto est√° sob o controle dos invasores, o host incorpora uma representa√ß√£o hexadecimal do endere√ßo IP para executar um c√≥digo de aplicativo HTML (HTA).

Desde 2014, o trojan banc√°rio Emotet est√° ativo e, por tr√°s deste botnet, os especialistas detectaram o TA542. Al√©m disso, esse trojan banc√°rio tamb√©m costumava entregar outros itens maliciosos como: ‚Äď

  • Trojans truquebot
  • Trojans QBot
  • Conti ransomware
  • Ransomware ProLock
  • Ransomware Ryuk
  • Ransomware Egr√©gor
N√≥s recomendamos:  Como usar o Nvidia G-Sync em um monitor FreeSync para jogos suaves e sem l√°grimas

Aqui está o que o analista de segurança, Ian Kenefick afirmou:-

‚ÄúO uso n√£o convencional de endere√ßos IP hexadecimais e octais pode resultar na evas√£o das solu√ß√Ķes atuais que dependem da correspond√™ncia de padr√Ķes. T√©cnicas de evas√£o como essas podem ser consideradas evid√™ncias de que os invasores continuam a inovar para impedir solu√ß√Ķes de detec√ß√£o baseadas em padr√Ķes.‚ÄĚ

Por√©m, para mitigar tal situa√ß√£o, o uso da t√©cnica incomum nas linhas de comando ser√° √ļtil para a detec√ß√£o.

E não só isso, até a Microsoft também afirmou que planeja desabilitar o Excel 4.0 (XLM) Macros por padrão, pois isso manterá todos os seus clientes protegidos contra ameaças à segurança.

Voc√™ pode nos seguir em Linkedin, Twitter, Facebook para atualiza√ß√Ķes di√°rias de seguran√ßa cibern√©tica

Table of Contents