Durante 2018, a Emotet tem sido uma presença contínua. Sem poucas exceções, o spam dessa campanha  maliciosa de spam está ativa todos os dias da semana. “À medida que os meses avançam, geralmente identifico malware  que foi propositadamente injetado através do Emotet”, disse Brad, um especialista da dshield.

In recent weeks, I’ve generally seen Emotet retrieve Trickbot, the IcedID banking Trojan, or spambot malware for its follow-up infection.  I rarely see Emotet retrieve more than one type of follow-up malware.  But on Tuesday 2018-09-25, my infected lab host retrieved Trickbot and IcedID immediately after an Emotet infection.  Then IcedID caused another infection with AZORult on the same host.

2018-09-26-ISC-diary-image-01

 

O primeiro tipo de malware detetado possui um documento do Microsoft Office anexado com uma macro. A macro foi desenvolvida para infetar um host vulnerável com o Emotet.

O segundo tipo de Emotet malspam tem um link para descarregar uo documento do Word malicioso em vez de um anexo.

O terceiro tipo de Emotet malspam tem um anexo em PDF sem nenhum link na mensagem. O ficheiro PDF contém um link para descarregar o documento malicioso do Word.

Todos os três casos envolvem um documento do Word malicioso com macros. Nos três casos, abrir o documento do Word e ativar as macros iniciará o processo de infecção num host vulnerável do Windows.

Three different types of malspam for Emotet infections.

 

2018-09-26-ISC-diary-image-03

 Example of Emotet malspam with a PDF attachment.

2018-09-26-ISC-diary-image-042018-09-26-ISC-diary-image-04

Downloading an Emotet Word document and enabling macros.

 

O especialista recuperou um URL de infeção, e analisando a entradas na rede ele diz que a sua proliferação pode ter sido despoletada a partir de um PDF.

Shortly after my lab host was infected with Emotet, I saw indictors of a Trickbot infection.  I also saw indicators of an IcedID infection.  Finally, I saw an HTTP request that returned an AZORult malware binary, and it was followed by AZORult post-infection traffic.  See the image below for details.

 

2018-09-26-ISC-diary-image-05

Traffic from the infection filtered in Wireshark.

 

A infecção via Emotet foi mantida de forma persistente no host infetado através de uma entrada no registo do windows. Os malwares IcedID e Trickbot foram mantidos persistentes através de uma tarefa agendada no SO. Depois de o PE File AZORult ser executado no host infetado, ele foi automaticamente excluído, e portanto, não foi detetado nenhum artefacto ou atividade que o tornasse persistente no sistema.

2018-09-26-ISC-diary-image-06

 Emotet persistent on my infected Windows host.

 

2018-09-26-ISC-diary-image-07

 IcedID persistent on my infected Windows host.

 

2018-09-26-ISC-diary-image-08

 Trickbot persistent on my infected Windows host.

 

Ver o relatório completo aqui.