ESET alerta para novo trojan disseminado por e-mail falso da Amazon

Sem descanso para a segurança neste fim de ano: segundo alerta da empresa de cibersegurança ESET, hackers estão ressuscitando o trojan de roubo de credenciais e dados “Emotet”, por meio de um falso e-mail em nome da Amazon que pede que usuários enviem informações de compra na cadeia varejista.

À primeira vista, o referido e-mail parece genuíno, já que segue um template bastante similar às correspondências virtuais da Amazon. Contudo, alguns indícios de roubo já podem ser percebidos no início: “Ao exibir os detalhes do remetente, podemos ver que a mensagem está realmente sendo enviada de um endereço que não tem nada a ver com o domínio da Amazon. Encontramos então o primeiro indício de que se trata de uma fraude”, diz o comunicado da ESET.

Ao contrário da maioria dos ataques feitos via e-mail, que visam direcionar o usuário a clicar em algum link ou enviar informações sigilosas diretamente (phishing), as pessoas por trás do Emotet tentam passar o mais despercebidas possíveis, com o conteúdo do e-mail alertando sobre uma compra realizada na Amazon. Curioso, o recipiente da mensagem clica nos detalhes da compra mas, ao invés de ser direcionado a uma URL da empresa, inicia o download de arquivo do Microsoft Word. É neste arquivo em que se encontra o trojan.

O golpe então segue seu curso, alegando que o arquivo baixado veio de uma versão antiga do software de edição de textos e que o usuário deve abrí-lo em modo de edição para visualizar seu conteúdo. Uma caixa de texto escondida no arquivo, porém, mascara os macros de execução do trojan, e é a partir daí que os dados de conexão são baixados e o payload do golpe é entregue. A caixa em questão está escondida no topo da página, no canto esquerdo. Expandindo seu tamanho, é possível encontrar as linhas de comando que executam o trojan.

Segundo a ESET, essa nova variante do Emotet pode ser identificada por usuários técnicos por meio da assinatura digital “Win32/GenKryptik.CULQ”. Uma das características do Emotet é que ele sempre muda, sempre adicionando novas variações dele mesmo, cada uma com seu método de ataque diferenciado.

“O trojan Emotet é caracterizado por sua constante mutação (portanto, continuamos encontrando novas variantes) e realizando a contenção de payloads de diferentes famílias de trojans bancários e spywares que buscam roubar informações do usuário. É interessante a análise deste caso, já que o cibercriminoso busca ir além do Phishing tradicional, combinando diferentes técnicas de propagação e fraude para fazer com que sua vítima clique em um link, execute um arquivo e finalmente o código malicioso consiga comprometer o dispositivo e coletar os dados confidenciais”, diz o comunicado.

Para se proteger, valem as mesmas dicas de sempre: não cliquem em links, não baixem arquivos vindos de e-mails desconhecidos, sempre cheque os detalhes do remetente e, diante de tudo isso, entre em contato diretamente com a administradora da empresa falsamente nomeada no e-mail para confirmar a situação e alertá-la. A correspondência deve ser deletada da caixa de entrada.