O EtterSilent é um novo malware criador de documentos maliciosos que tem utilizado o DocuSign para enganar vítimas. Segundo descoberta do Intel 471, o “produto” tem sido alavancado por vários grupos de crimes cibernéticos, e à medida que cresceu em popularidade, foi atualizado constantemente para evitar a detecção.
O grupo de inteligência em cibersegurança diz que o malware foi anunciado pela primeira vez em um fórum russo de crimes cibernéticos, onde o vendedor ofereceu dois tipos de documentos do Microsoft Office como arma aos usuários: um que explora uma vulnerabilidade conhecida no Microsoft Office (CVE-2017-8570) e outro que usa uma macro maliciosa, sendo essa a escolha mais popular do cibercriminosos.
O documento malicioso, quando aberto, mostra um modelo que se apresenta como DocuSign, popular software que permite que indivíduos e organizações assinem documentos de maneira digital. Ele então aproveita as macros do Excel 4.0 armazenadas em uma planilha oculta, o que permite que uma carga hospedada externamente seja baixada, gravada em disco e executada usando regsvr32 ou rundll32.
O Intel 471 diz ainda que o EtterSilent está sendo utilizado em muitas campanhas de malware familiares para a maioria dos especialistas em segurança cibernética, entre elas uma campanha de spam recente para lançar uma versão atualizada do Trickbot. O documento malicioso foi anexado em um e-mail que fingia ser de um conhecido fabricante multinacional de eletrodomésticos, alegando ser uma fatura de pagamento.
Em 19 de março de 2021, o EtterSilent foi usado como parte de uma campanha do malware Bazar. O documento malicioso, neste caso, não usava um modelo DocuSign, mas a planilha principal do Excel era chamada de “DocuSign®”. Ele baixa, então, a carga útil do Bazar, que por sua vez se conecta a outro URL que baixa a backdoor do Bazar.
Três cavalos de Troia bancários – BokBot, Gozi ISFB e QBot – também usaram o EtterSilent em conjunto com seus esquemas. O Intel 471 rastreou ainda uma campanha específica ligada ao BokBot contendo URLs de distribuição embutidos nos documentos maliciosos do EtterSilent.
Comentários Recomendados
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.