EMOTET SE PROPAGA A TRAVÉS DE MICROSOFT ONENOTE
EMOTET SE PROPAGA A TRAVÉS DE MICROSOFT ONENOTE
| 23/03/2023 | BOLETÍN NRO 2023-192 |
A principios de este año, Microsoft empezó a desplegar actualizaciones para bloquear automáticamente las macros en los documentos de Word y Excel debido a que amenazas, como QakBot y Formbook han empezado a usar estos programas para distribuir malware. Además, se ha observado que Emotet ha iniciado una campaña de spam malicioso hacia documentos de OneNote.
Servicios Afectados
• Sistemas operativos Windows
Detalles Tecnicos
Investigadores han observado recientemente que los operadores de Emotet utilizan ahora archivos adjuntos de Microsoft OneNote para distribuir el malware. Usando su táctica de ataque por correo electrónico de cadena de respuesta, haciéndose pasar por facturas, guías prácticas y referencias laborales. Cuando se abre el archivo de OneNote, aparece un mensaje que indica que el documento está protegido y que el usuario debe hacer clic en un botón Ver para abrir el documento. El botón Ver del cuadro de mensaje se superpone sobre un archivo VBScript click[.]wsf. De este modo, al hacer doble clic en el botón, se activa el motor de secuencias de comandos de Windows (wscript[.]exe) para ejecutar este VBScript. El archivo VBScript es un script ofuscado, diseñado para descargar el payload de Emotet desde un sitio remoto a una carpeta temporal en la máquina infectada. Este payload de Emotet se guarda como archivo DLL y se ejecuta a través de regsvr32[.]exe. Tras la ejecución, el malware establece una conexión con el servidor C2 para recibir más instrucciones. Mientras tanto, roba credenciales de correos electrónicos y contactos del dispositivo infectado. Aunque se desconocen cuáles son los payloads finales distribuidos por Emotet, los expertos sospechan que pueden ser Cobalt Strike u otro parecido que le ayuda a obtener acceso completo al dispositivo y que le permitiría moverse por la red sin ser detectado. Indicadores de Compromiso IP 95[.]216[.]102[.]32 Dominio snaptikt[.]com 189dom[.]com Hash MD5: 63b481596e3d6cad4f57a96eee6ed4e2 SHA256: de5331b71dc535f75dade1fbd042120fe9732fa851700a54d5c423b45145c929 MD5: 1e0b4608d4236b2481cd1a75a11a29ce SHA256: 66fbd626eac4b285f093e5fbff484daa95d270e981eda051836b5ee47ea7a01b MD5: 1b1744216fa974f3048f862a2e6703ec SHA256: 305d7962894c83ebfcc863fe129180f20e6144f1f59d70971249d14e6d178fa4 MD5: 2a7923afb5d71c21c51feb2bc56578ee SHA256: fe4861a51211c399880a9378f70447421439efd2598abacf7b821e898c57ea65 MD5: 3db8788e6f73d7de243721478e049853 SHA256: fe13c5c6b797849d8a0df4501341e89d28291807ec3585c8ee3f5162ee77c9ea MD5: 103a6dcd4b7afcc0ef933dc4d62d05c9 SHA256: fdc4a380cc9b93b335a365e949e4b0498f6bcec5119ea6b1f435555478bebece MD5: 7330d0e2faa903caaa565a69eeb446cd SHA256: fce0482ee7c45671ae67d74e6565c51b3440d42d05c77a0e15168322368161ea MD5: 819342968ae78be264d0fea07daab356 SHA256: fbe4c084d44a1b42840ece71b97198bae8ac059311c382c4d8005e6c69e027f6 MD5: 57a46489f02c106569f8cd62ba9f7501 SHA256: fb74b1eb454fddb41011ae5b3f343589bf49d4be7e8ced6cbc25d6e9191bd862 MD5: 64048e240c1db85470fcab72ef05b1ae SHA256: fa3d349119a0d23573d2f35770da77e082ce3434934a6e98ed43696b40043761 MD5: dd60ed0547b347f146a8d8fd942d57c3 SHA256: f9d896ea5854244772384362280d3a735bf2b429caadbbb88960078c87054a94 MD5: 38851af80cf9fdd963edacf9a7d150b1 SHA256: f973eebaba3e989d593cecf786c3e018a5b61305d1bd504191524db035effd69 MD5: b263036094c0a9536fd398832bb435e1 SHA256: f8037b934e18d58dfa58b9b021b4ff35a7cf7344a36036269d2d066ffbb1ba52 MD5: bdfbccee6528a7ed30f219d94a42594b SHA256: f69f5abe3956b2dcb02592209f941d8bbd65630866da650e45d5d9c683d1e981 MD5: 2148a6a2bef5a35ce5665cbc12d5e474 SHA256: f616da0ebb4f984aecd40da922c0cdf70987643a86afadc969aa76598120cd5d MD5: 164039cfe2bce4ff84864fbde7acfd02 SHA256: f5df6f0ebee7885bdae8dd9839d76e610b0c30a777c6f2902ea1ffa7a973440a MD5: 59f1c43382bca8e1fad2b698bf25d4ba SHA256: f5498c6f589a41cdd73f82f7aff91ebf1690874b98cdb2a617e0d9b7cb3ac3f7 MD5: 4b64955a0475ab1f8ddcb655748805ba SHA256: f408af193c192fc2e12cceca786d71423a46ac3c87858bfda02719c118e72197 MD5: c72711f6c850e8a43ad959a4887c60d7 SHA256: f2c64fce12861fc8f993a4d54d04434de80dab047958cec25e679b26626e1acc MD5: c81701c6b1e11d209df44305e7a7fcdd SHA256: f253047d5f182f3f5bd1552697d4ce1c6ff759b5ac9de08f65562c30e76b05b2 MD5: fe95283184a2afa3f6d194abda4302d1 SHA256: f2223da36c8d349a3545f952992ffc45ad0649dfec02f4ca8d0bc50f151794db MD5: 7a0381c85b66f3691bc34956882b4854 SHA256: f14f7fff748a8d59d665acb7b3c2b136db789887fb7ff6e991d1b670798514d2 MD5: 9e81502ef07ce240e321bfd59326ffc1 SHA256: f0cef48f6cbe22b19bde6cccc5f63edd26303691dc3c9d8796f635ccc61a9ba6 MD5: 312594d8c22456b03982d9744cf55cb0 SHA256: efcf59f4423df8fdacbfa8c3d23b6a3e4722bab65c31ea8a7f32daadddfa7adc MD5: 819bab0674631f7885e1e0504ebb8859 SHA256: ef83b4a7000b2d750d15cee1ff4f80e421b59be76535b56f8f2e209a233e5b22 MD5: 726d874edbe8ffe4942e65cf80fc1f87 SHA256: ede6a86d5154c9116e1266757c74f7191c331664b9d4b292bc954d004f402dc6 MD5: d2dee88803a04a6457a9c62840e53223 SHA256: eaf050eabdfffde46a85a1651438dbbae8a3e048090c80f231efddef019895a0 MD5: 9b4b9dccbd50f1958d986751c72546d8 SHA256: e88815629b271bf951f54187be2080a5b6e0c7dec07bfbb04944eda77750c179 MD5: 2f61649e7c5bd6fb446e97c45fc8637d SHA256: e66703a04903e7bb72a399b9f82b068d50444a1656421c0a933fbd49a5632a96 MD5: 21401f731c2d1086f114ee8959156804 SHA256: e5ee7b35e68eda8a4b5da7520954a4680bdbb5214ba4f61b1afd2d92701a1c95 MD5: 85d4da2e7b1b5fbbe9dc34f0c1160e9f SHA256: e4ba63e4be1ef987c35e960c4fb891f628a45f8f64b657bb74787e54aceec4be MD5: b1ee4c127bb9e67fb78db4a891768a6a SHA256: e3bfa07ab83ffdd74398a6aed95348fe2d7955f8ee964d788ca2915fc5f10812 MD5: 27578ebb21623a8aa76a669653b4a6b8 SHA256: e3baa791c0959539988a51e12bbad056b584bf14ecdd75de65077a1f9ca0479c |
Recomendaciones
Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:
Para el personal de seguridad de información:
• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.
• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.
• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.
• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.
• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.
** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.
Para usuarios finales:
• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.
• Escanear todo el software descargado de Internet antes de la ejecución.
• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.
Fuente
- Fuente 1: Emotet Adopts the Trend for OneNote Infection
- Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft
Contáctanos
Si usted tiene alguna consulta no dude en contactarse con nosotros:
Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com
Consultas comerciales: ventas@securesoftcorp.com
Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com
Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com
Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com
Publicador de contenidos
Reporte
126 Reporte Quincenal de Ciberinteligencia 2025
Reporte
125 Reporte Quincenal de Ciberinteligencia 2025
Reporte