NUEVA ACTIVIDAD DEL MALWARE EMOTET

21/11/2022

BOLETÍN NRO 2022-687

Recientemente se ha detectado una nueva campaña de Emotet que está distribuyendo malwares como IcedID y Bumblebee a través del correo electrónico.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Gran cantidad de correos electrónicos al día, han sido enviados desde principios de noviembre de 2022, dijo una compañía de seguridad, la nueva actividad sugiere que Emotet está volviendo a su plena funcionalidad actuando como una red de entrega para las principales familias de malware. Entre los principales países objetivos se encuentran Estados Unidos, Reino Unido, Japón, Alemania, Italia, Francia, España, México y Brasil.

La actividad relacionada con Emotet se observó por última vez en julio de 2022, aunque desde entonces se han registrado infecciones esporádicas. A mediados de octubre, especialistas de seguridad indicaron que Emotet podría estar preparándose para una nueva ola de ataques.

Se sabe que las cadenas de infección que involucran al malware emplean señuelos genéricos, así como la técnica de secuestro de hilos de correo electrónico para atraer a los destinatarios a abrir archivos adjuntos de Excel habilitados para macros.

Tras el reciente anuncio de Microsoft de que empezaría a desactivar las macros por defecto en los documentos de Office descargados de Internet, muchas familias de malware han comenzado a migrar de las macros de Office a otros mecanismos de entrega como los archivos ISO y LNK, según Cisco Talos a principios de este mes. Por lo tanto, es interesante observar que esta nueva campaña de Emotet está utilizando su antiguo método de distribución de documentos maliciosos de Microsoft Office (maldocs) a través del phishing basado en el correo electrónico.

Un método alternativo insta a las víctimas potenciales a copiar el archivo en una ubicación de plantillas de Microsoft Office, una ubicación de confianza y a lanzar el documento señuelo desde allí en lugar de tener que habilitar explícitamente la macro.

Esta campaña también ha ido acompañada de cambios en el componente de Emotet, así como de la adición de nuevos comandos y de actualizaciones para hacer más difícil la ingeniería inversa.

Una de los payloads distribuidos a través de Emotet es una nueva variante del load IcedID, que recibe comandos para leer y enviar el contenido de archivos a un servidor remoto, además de ejecutar otras instrucciones a través de un backdoor que le permite extraer datos del navegador web.

Indicadores de Compromiso

HASH

MD5: 9bb166c63196fd36998486ea87152c6d

SHA-256: efc1269c3301b861bae97c2962206a75ee64a3de8e326b02f2f72b44a0b39686

MD5: 9d000930793e13b83de144000476a90f

SHA-256: ecdc52835cd3c6d94a2174e62094c4fe94d6697d34c2b71ad993916c4cca6f99

MD5: a6389204264baeaab56c3279eae1b58d

SHA-256: d94b3ffd96fcac30aa03cec943aa82e58a2baf018ce6363c8e4dab5896430214

MD5: c7f7dcce962a890f1ab3862ccee63b8e

SHA-256: badb03cdea2b68f8b1b05933ea35c4d013a8505982092115e4330cb5e61733a7

MD5: f6f9d6fdce8e4c024a791c1a17e8119d

SHA-256: a1eb070c9843453bac7168e37d0601439ddf4c7f83538b31acafd61dc69bf9c8

MD5: ca661b9098213d576ffef56f346586bd

SHA-256: 98535c91effe1d81032b90c12950652604605480ce63099f9f9affea419fa5f1

MD5: fe94700a23dcc01f7a0c9f49b3e508ee

SHA-256: 76a0069b8640e566a97d30d9da14ff8e217d9b1f67599a00dfd0801188a2abbc

MD5: 8baa9b809b591a11af423824f4d9726a

SHA-256: 6393fe8dd4721190f240e22feeb769675b6194a70cabd5a415c2364686a9089c

MD5: ba9671857bdd847b0df7efcd61526f18

SHA-256: 5eaf4c5bd6572444ff32ef0ba7dccfa173f2c4396c1214e2212ee762fa4691cf

MD5: f06441b1d948c155bb18e72bf8f58072

SHA-256: 3777c74f947da7839459c35b56648efb97e798fe9d05da8c8f3618df97ad0ff0

MD5: 5382c763dbfbcb1cfd7b7133bdc97ca9

SHA-256: 360d8d85cdec28b74a336043dc721ad706ebef8d3817719e54911e93886b3cd8

MD5: 1ba9fdd4e698c9d399298688d3fd2bc3

SHA-256: 25fce5f66196997fbbd2991df77a1b035aeef47b7d7f3139aa078b46b000bcbf

MD5: 329d2777dd0e7f89da198ee96f9f2d39

SHA-256: 019d5e3ba5207a54b1651ccbd1265c0dca3d3e5bce23d6f756fc2a1e94e52fa7

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Considerar deshabilitar macros en archivos de Office, evitando que pueda ser aprovechado por softwares maliciosos.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Notorious Emotet Malware Returns With High-Volume Malspam Campaign
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​