NUEVA CAMPAÑA DEL MALWARE EMOTET

25/01/2023

BOLETÍN NRO 2023-057

La campaña del malware Emotet ha seguido mejorando sus tácticas en un esfuerzo por pasar desapercibido ante los sistemas de seguridad, además que distribuye otros malwares como Bumblebee e IcedID.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Atribuido a un grupo de ciberdelincuentes rastreado como TA542 (alias Gold Crestwood o Mummy Spider), el malware ha evolucionado de troyano bancario a distribuidor de malware desde su primera aparición en 2014.

El malware como servicio (MaaS) también es modular, capaz de desplegar una serie de componentes propietarios y gratuitos que pueden filtrar información confidencial de los equipos comprometidos y llevar a cabo otras actividades posteriores a la explotación.

Dos de las últimas características añadidos a Emotet son el SMB spreader diseñado para facilitar el movimiento lateral mediante una lista de nombres de usuario y contraseñas codificados y un stealer de tarjetas de crédito dirigido al navegador web Chrome.

Las últimas campañas en las que ha participado la red de bots han utilizado señuelos genéricos con archivos adjuntos armados para iniciar la cadena de ataque. Sin embargo, dado que las macros se han convertido en un método obsoleto de distribución de payloads y de infección inicial, los ataques han recurrido a otros métodos para conseguir que Emotet no sea detectado por las herramientas de detección de malware.

Con la nueva oleada de correos electrónicos de spam Emotet, los archivos .XLS adjuntos tienen un nuevo método para que permitan que las macros descarguen el dropper, en un informe publicado las nuevas variantes de Emotet ahora han pasado de 32 bit a 64 bit, como un método para evadir la detección.

El método consiste en dar instrucciones a las víctimas para que muevan los archivos señuelo de Microsoft Excel a la carpeta predeterminada Plantillas de Office en Windows, una ubicación en la que confía el sistema operativo, para ejecutar macros maliciosas incrustadas dentro de los documentos para entregar Emotet.

Dicho de otro modo, el giro de ingeniería social permite eludir las protecciones Mark of the Web (MotW), que cargan los archivos de Office descargados de Internet en Vista Protegida, un modo de solo lectura con las macros y otros contenidos desactivados.

Indicadores de Compromiso

Dominio

intolove[.]co[.]uk

geringer-muehle[.]de

coadymarine[.]com

chist[.]com

blacksebo[.]de

bikkviz[.]com

bayernbadabum[.]com

audioselec[.]com

2fsecurityaffairs[.]com

URL

hxps[:]//blacksebo[.]de/sharedassets/fA/

hxxp[:]//isc[.]net[.]ua/themes/3rU/

hxxp[:]//audioselec[.]com/about/dDw5ggtyMojggTqhc/

hxxps[:]//bikkviz[.]com/wp-admin/NyT44HkVg/

hxxp[:]//intolove[.]co[.]uk/wp-admin/FbGhiWtrEzrQ/

hxxp[:]//geringer-muehle[.]de/wp-admin/G/

hxxp[:]//coadymarine[.]com/Admin/ekamS7WWDkLwS44q/

hxxp[:]//chist[.]com/dir-/HH/

Hash

MD5: d2d13fb9464c11719f9232c9fedb702e

SHA-256: f6485aef4be4cb0ec50317b7f87694fb775f81733af64c9bc6050f6806504207

MD5: 2486374800299563ab8934122234242a

SHA-256: ef2ce641a4e9f270eea626e8e4800b0b97b4a436c40e7af30aeb6f02566b809c

MD5: cb9e1acaf2bc27d3d63ab65fda4c5186

SHA-256: bb444759e8d9a1a91a3b94e55da2aa489bb181348805185f9b26f4287a55df36

MD5: 495402773d336dff327a1bfec34d4e0e

SHA-256: 3d8f8f406a04a740b8abb1d92490afef2a9adcd9beecb13aecf91f53aac736b4

MD5: 6493581b246b731e4937fbee64a68803

SHA-256: 199a2e0e1bb46a5dd8eb3a58aa55de157f6005c65b70245e71cecec4905cc2c0

MD5: f4239e545b7e85527babcf8cb130df6f

SHA-256: 05a3a84096bcdc2a5cf87d07ede96aff7fd5037679f9585fee9a227c0d9cbf51

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Emotet Malware Makes a Comeback with New Evasion Techniques
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​