[MASOCH-L] Novo método de disseminação do EMONET

Leandro leandro at spfbl.net
Sat Oct 31 10:45:14 -03 2020


 Exatamente. Você tem toda razão. Você pode isolar apenas os casos que
tenham um único arquivo DOC dentro do ZIP encriptado. Esse comando aqui
extrai a lista de arquivos do ZIP, mesmo que esteja encriptado:

   - unzip -Z -1 '<filename>'

Ainda que este critério seja mais preciso, eu não recomendo simplesmente
rejeitar a mensagem, mas apenas colocar ela em quarentena ou então jogar na
pasta Junk do destinatário. O destino mais apropriado que tua infra
permitir.

Lembrando que estamos falando de soluções paliativas, enquanto os
fabricantes de AV não encontrem a solução definitiva.

Leandro
SPFBL.net


On Sat, Oct 31, 2020 at 10:07 AM João Carlos Mendes Luís <jonny at jonny.eng.br>
wrote:

> Leandro,
>
>     Já mandei muito arquivo zipado e encriptado por e-mail.  A senha mando
> por outro canal, como WhatsApp.  Simplesmente bloquear encriptados não é
> solução.
>
> > On 30 Oct 2020, at 11:37, Leandro <leandro at spfbl.net> wrote:
> >
> > Exatamente Danton. Uma simples dedução lógica já seria suficiente para
> > afastar o risco, já que não existe sentido algum em trancar algo com a
> > chave pendurada na fechadura. Mas nós todos sabemos que a lógica não é o
> > forte da maioria dos nossos usuários e é justamente por isso que eles
> devem
> > ser avisados. Apesar de que o aviso também não garante nada. Problema
> mega
> > difícil.
> >
> > Leandro
> > SPFBL.net
> >
> >
> >> On Fri, Oct 30, 2020 at 10:34 AM Danton Nunes <
> danton.nunes at inexo.com.br>
> >> wrote:
> >>
> >>> On 30/10/2020 10:06, Leandro wrote:
> >>> Bom dia pessoal!
> >>>
> >>> Os hackers estão usando um novo método de disseminação do EMONET, que é
> >>> imune ao Clamav e possivelmente imune a outros antivírus também. O
> método
> >>> consiste em zipar com senha o arquivo DOC infectado e passar a senha no
> >>> próprio corpo do email, de tal forma que induza o usuário a abrir o
> >> arquivo
> >>> e colocar aquela senha.
> >>
> >> Há muitos anos eu vi um ataque desse tipo, com a colaboração da vítima.
> >>
> >> Se você se refere ao malware da máfia russa, o nome, se não me engano, é
> >> EMOTET
> >> e não EMONET. É um cavalo de Tróia para roubar credenciais bancárias e
> >> facilitar
> >> a instalação de outros malwares. Até onde sei, é específico de Windows.
> >>
> >> Paranóicos de plantão podem programar seus filtros de email (amavis, ou
> >> similar)
> >> para rejeitar ou por em quarentena qualquer mensagem com anexo que não
> >> possa ser
> >> aberto (p.ex. zip cifrado), mas melhor mesmo seria aplicar 40 chibatadas
> >> em
> >> praça públia em qualquer idiota que abrisse um anexo desses.
> >>
> >> Por outro lado é bom lembrar que a existência desses malwares se baseia
> >> num erro
> >> fundamental de projeto de aplicativos como Word e outros semelhantes
> que é
> >> misturar no mesmo saco dados e programas. Mas num mundo em que o
> marketing
> >> manda
> >> muito mais do que a segurança ou a engenharia, esperar o que? Alguém me
> >> explique
> >> por que cargas d'água um documento do Word deve ter a capacidade de
> lançar
> >> um
> >> PowerShell?
> >>
> >> -- Danton
> >> __
> >> masoch-l list
> >> https://eng.registro.br/mailman/listinfo/masoch-l
> >>
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
>
>



More information about the masoch-l mailing list