[MASOCH-L] Novo método de disseminação do EMONET

Leandro leandro at spfbl.net
Fri Oct 30 11:36:45 -03 2020


Exatamente Danton. Uma simples dedução lógica já seria suficiente para
afastar o risco, já que não existe sentido algum em trancar algo com a
chave pendurada na fechadura. Mas nós todos sabemos que a lógica não é o
forte da maioria dos nossos usuários e é justamente por isso que eles devem
ser avisados. Apesar de que o aviso também não garante nada. Problema mega
difícil.

Leandro
SPFBL.net


On Fri, Oct 30, 2020 at 10:34 AM Danton Nunes <danton.nunes at inexo.com.br>
wrote:

> On 30/10/2020 10:06, Leandro wrote:
> > Bom dia pessoal!
> >
> > Os hackers estão usando um novo método de disseminação do EMONET, que é
> > imune ao Clamav e possivelmente imune a outros antivírus também. O método
> > consiste em zipar com senha o arquivo DOC infectado e passar a senha no
> > próprio corpo do email, de tal forma que induza o usuário a abrir o
> arquivo
> > e colocar aquela senha.
>
> Há muitos anos eu vi um ataque desse tipo, com a colaboração da vítima.
>
> Se você se refere ao malware da máfia russa, o nome, se não me engano, é
> EMOTET
> e não EMONET. É um cavalo de Tróia para roubar credenciais bancárias e
> facilitar
> a instalação de outros malwares. Até onde sei, é específico de Windows.
>
> Paranóicos de plantão podem programar seus filtros de email (amavis, ou
> similar)
> para rejeitar ou por em quarentena qualquer mensagem com anexo que não
> possa ser
> aberto (p.ex. zip cifrado), mas melhor mesmo seria aplicar 40 chibatadas
> em
> praça públia em qualquer idiota que abrisse um anexo desses.
>
> Por outro lado é bom lembrar que a existência desses malwares se baseia
> num erro
> fundamental de projeto de aplicativos como Word e outros semelhantes que é
> misturar no mesmo saco dados e programas. Mas num mundo em que o marketing
> manda
> muito mais do que a segurança ou a engenharia, esperar o que? Alguém me
> explique
> por que cargas d'água um documento do Word deve ter a capacidade de lançar
> um
> PowerShell?
>
> -- Danton
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



More information about the masoch-l mailing list