Troyano Emotet muy activo en América Latina en archivos adjuntos

Los delincuentes detrás del troyano EMOTET lanzaron nueva campaña de spam a gran escala en América Latina, con correos en español y utilizando técnicas Fileless que invocan comandos CMD y POWERSHELL.
Emotet es una familia de troyanos bancarios conocida por su arquitectura modular, técnica de persistencia, uso de técnicas Fileless y autopropagación similar a la de los gusanos. Es distribuido a través de campañas de spam utilizando una variedad de técnicas para hacer pasar por legítimos sus adjuntos maliciosos. El troyano es frecuentemente utilizado como un downloader o como un dropper para payloads secundarios potencialmente más dañinos. Debido a su alto potencial destructivo, Emotet fue objeto de un comunicado por parte del CERT de Estados Unidos en julio de 2018.

Análisis

En esta campaña de febrero de 2019, Emotet hace uso de adjuntos maliciosos en Word que se presentan como facturas, notificaciones de pago, alertas de cuentas bancarias, etc, y que simulan ser de organizaciones legítimas.
El compromiso de la víctima comienza con la víctima abriendo un Word (a veces es un PDF) malicioso que viene como adjunto en un correo spam que aparenta ser de una organización legítima y conocida. Siguiendo las instrucciones en el documento, la víctima habilita los macros en Word o hace clic en el enlace dentro del PDF.

Paso seguido, el payload de Emotet es instalado y ejecutado, establece persistencia en la computadora, y reporta que el compromiso se realizó de manera exitosa a su servidor C&C. Inmediatamente después, recibe instrucciones acerca de qué módulos de ataque y payloads secundarios.

Los módulos extienden las funcionalidades de los payloads iniciales con las siguientes capacidades: robo de credenciales, propagación en la red, recopilación de información sensible, reenvío de puertos, entre otras más.

El aspecto más importante y que puede llevar fácilmente a la confusión de quién recibe la información, es que el correo es enviado (aparentemente) por una persona que es un contacto conocido de la víctima, e incluso está firmado por esta misma persona con la dirección de normalmente utiliza. El usuario recibe entonces un correo electrónico con spoofing de un conocido, con información comercialmente coherente y firmado por la misma persona.
En un seguimiento particular realizado durante febrero en Argentina, se envió una cadena de 5 correos que partieron desde una Factura Disponible, pasando por una Tarifa Especial, un Procedimiento de Pago, una Confirmación de Pago y terminando con el último correo donde el usuario recibe el Recibo de Pago correspondiente. Cada uno de estos correos incluye un documento adjunto .DOC.
Aún así, se siguen distinguiendo errores gramaticales en la redacción de estos correos, productos de una mala traducción literal respecto al contenido de origen, pero como muestran los ejemplos anteriores, cada vez se requiere de más concentración para no caer en el engaño.

El adjunto contiene una macro altamente ofuscada, como la siguiente:
Aquí puede verse el llamado a una shell que posteriormente se traducirá en el llamado a una sentencia ofuscada de PowerShell y/o cmd.

Ejemplos de análisis

En estos análisis se puede ver como se invoca a las sentencias Fileless, la conexión a diferentes sitios y la descarga de los payloads. Los archivos EXE descargados finalmente terminan realizando la infección de la víctima y la conformación de la botnet que envía spam y continúa la campaña de infección.

Cristian Borghello y Javier Besso de la Redacción de Segu-Info

Via: feedproxy.google.com
Troyano Emotet muy activo en América Latina en archivos adjuntos Troyano Emotet muy activo en América Latina en archivos adjuntos Reviewed by Anónimo on 16:59 Rating: 5