Como se está ocultando o Emotet e malwares de macro nos últimos tempos

Nesse blog vamos revisar de forma rápida algumas formas simples para reconhecer visualmente nas linhas de código as últimas ameaças de malware de marco. Apresentaremos três exemplo comuns hoje em dia, mas podem existir muitos mais. Você poderá ver uma imagem clara do que o usuário verá e como será incitado a executar as macros maliciosas e finalizaremos com uma breve revisão da estrutura de código de cada amostra com sua característica principal.

O malware de macro é uma ameaça muito ativa nos últimos tempos que está passando por uma dourada desde 2014, depois de muitos anos de silencia (praticamente desde o início dos anos 2000). Ultimamente, o Office por si só, seja através de vulnerabilidades ou de macros maliciosas, está se convertendo em uma ameaça crítica. No gráfico abaixo, podemos observar que que os ataques e falhas que usam a plataforma Office cresceram até 70% do total em 2018.

A seguir, vamos analisar três exemplos de malware de macro típicos.

Cases para nada

O has analizado nesse exemplo é o seguinte:

0af2ecaab930bdcb2daff398115a17750c96b5d34cb69df0b9884d5363043ebf

Quando se abre o arquivo malicioso, o documento mostra uma imagem similar a esta, esperando que o próprio usuário habilite as macros.

O arquivo contém até 12 macros, de diferentes tamanhos:

As macros mais pesadas se caracterizam pela grande quantidade de código comentado. Nessa amostra em particular, foram usadas muitas instruções “case” que nãos ervem para nada além de ofuscar o código e tentar enganar os antivírus.

Comentários sem sentido

A amostra analisada é:

f86caacee45fe5c5d010cd4ce227e9218612a27db4a5126e2ed0d5ae125fc4a4

Quando o usuário abre o documento, é mostrada a tela abaixo, esperando que ele próprio haja para garantir a infecção.

Os arquivos maliciosos estão hospedados em sites comprometidos (normalmente em WordPress) onde também estão armazenados outros documentos perigosos e payloads que podem ser descarregados nos dispositivos dos usuários. No exemplo, encontramos quatro macros, duas mais volumosas e outras duas menores.

A macro de 680 bytes nesse exemplo usa em seu código elementos visuais orientados a eventos (por exemplo campos de texto que chamam funções). Os elementos visuais não são mostrados e servem, novamente, somente para despistar os antivírus.

Esse último recurso abaixo é bastante comum nas últimas ameaças Emotet. As macros contêm uma infinidade de comentários, palavras aleatórias reais misturadas com funções matemáticas também com a função de evitar a detecção. O objetivo: iniciar uma nova instância do navegador para fazer o download de mais arquivos maliciosos.

Emotet clássico, MACs e e-mails criados

Há vários tipos de malware na família Emotet, mas o exemplo em azul acima é um dos mais habituais. A amostra analisada é:

99cbb727d4e6ae593f1106b4d8bdb5e312001619

Novamente, as amostras incluem cerca de cinco macros.

Aqui podemos ver que o código está cheio de comentários, são valores como endereços de e-mail aparentemente válidos, endereços MAC e valores de hash. Todos os valores nessas linhas não têm função aparente, além de despistar os antivírus.

Conclusões e recomendações

Ainda que não tenhamos realizado uma análise muito exaustiva de cada amostra, pudemos ver os exemplos mais representativos do malware de macro. É possível encontrar outras aparências visuais e formatos mas temos que notar que, sempre que o documento incite o usuário a habilitar macros explicitamente, é bem possível que ele seja um malware. O que acontece quando esses documentos são executados? Depende, mas a carga maliciosa pode incluir desde ransomware até instruções para movimentação lateral de exploração na rede.

Resumidamente, podemos concluir que:

• As ameaças malware de macro continuam sendo usadas e os motores de antivírus tem muitos problemas na detecção estática graças aos truques utilizados nos códigos e que vimos anteriormente
• Não conhecer o inimigo torna mais difícil o combate. É importante conhecer os exemplos de macros maliciosas, como as capturas de tela apresentadas aqui, isso permitirá que o usuário não habilite as macros
• Na dúvida, e se o documento contiver informação confidencial, você pode usar a nossa ferramenta Diario.