O EtterSilent é um novo malware criador de documentos maliciosos que tem utilizado o DocuSign para enganar vítimas. Segundo descoberta do Intel 471, o “produto” tem sido alavancado por vários grupos de crimes cibernéticos, e à medida que cresceu em popularidade, foi atualizado constantemente para evitar a detecção.
O grupo de inteligência em cibersegurança diz que o malware foi anunciado pela primeira vez em um fórum russo de crimes cibernéticos, onde o vendedor ofereceu dois tipos de documentos do Microsoft Office como arma aos usuários: um que explora uma vulnerabilidade conhecida no Microsoft Office (CVE-2017-8570) e outro que usa uma macro maliciosa, sendo essa a escolha mais popular do cibercriminosos.
O documento malicioso, quando aberto, mostra um modelo que se apresenta como DocuSign, popular software que permite que indivíduos e organizações assinem documentos de maneira digital. Ele então aproveita as macros do Excel 4.0 armazenadas em uma planilha oculta, o que permite que uma carga hospedada externamente seja baixada, gravada em disco e executada usando regsvr32 ou rundll32.
O Intel 471 diz ainda que o EtterSilent está sendo utilizado em muitas campanhas de malware familiares para a maioria dos especialistas em segurança cibernética, entre elas uma campanha de spam recente para lançar uma versão atualizada do Trickbot. O documento malicioso foi anexado em um e-mail que fingia ser de um conhecido fabricante multinacional de eletrodomésticos, alegando ser uma fatura de pagamento.
Em 19 de março de 2021, o EtterSilent foi usado como parte de uma campanha do malware Bazar. O documento malicioso, neste caso, não usava um modelo DocuSign, mas a planilha principal do Excel era chamada de “DocuSign®”. Ele baixa, então, a carga útil do Bazar, que por sua vez se conecta a outro URL que baixa a backdoor do Bazar.
Três cavalos de Troia bancários – BokBot, Gozi ISFB e QBot – também usaram o EtterSilent em conjunto com seus esquemas. O Intel 471 rastreou ainda uma campanha específica ligada ao BokBot contendo URLs de distribuição embutidos nos documentos maliciosos do EtterSilent.
Recommended Comments
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.