Visto: 242

EMOTET esta de regreso! La botnet vuelve a la vida con una nueva campaña de spam

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Después de una pausa bastante larga que duró casi cuatro meses, Emotet regresó con una campaña activa de distribución de spam.

Durante algunas semanas, hubo indicios de que la botnet estaba poniendo en marcha sus engranes nuevamente, como observamos la actividad del servidor de comando y control (C2). Pero esta mañana, el troyano comenzó a bombear spam, una clara indicación de que está listo para volver a la acción.

Los correos electrónicos maliciosos comenzaron en las primeras horas del lunes por la mañana, con plantillas en idioma alemán, polaco e italiano. Nuestro equipo de Inteligencia de amenazas comenzó a ver correos electrónicos de phishing enviados en inglés también con el asunto "Aviso de envío de pagos".

 

20190926 Malwarebytes01

Imagen 1: Nuestro spam honeypot recibe correos electrónicos de Emotet.

 

Tenga en cuenta la personalización en las líneas de asunto del correo electrónico. Tomando prestada una táctica de la nación norcoreana, los creadores de Emotet están trayendo de vuelta una funcionalidad altamente sofisticada de phishing lanzado en abril de 2019, que incluye el secuestro de cadenas de correo electrónico antiguos y hacer referencia al usuario por medio de su nombre.

 

20190926 Malwarebytes02

Imagen 02: El correo electrónico de phishing disfrazado de un estado de cuenta.

 

Las víctimas son atraídas para abrir el documento adjunto y permitir que la macro inicie el proceso de infección.

 

20190926 Malwarebytes03

Imagen 03: El documento de Word emplea ingeniería social para convencer a los usuarios de que ejecuten una macro.

 

20190926 Malwarebytes04

Imagen 04: Código de macro ofuscado responsable del lanzamiento de PowerShell.

 

El comando PowerShell desencadenado por los intentos de macro para descargar Emotet de sitios comprometidos, que a menudo se ejecuta en el sistema de administración de contenido (CMS) de WordPress.

También hay técnicas de entrega alternas. Por ejemplo, algunas instancias del documento malicioso se basan en un script de descarga en su lugar.

20190926 Malwarebytes05

Imagen 05: Script bloqueado al ejecutar macro.

 

Una vez que la descarga es exitosa y Emotet está instalado en el endpoint, comienza a propagarse extendiéndose lateralmente a otros endpoints en la red y más allá. También roba credenciales de las aplicaciones instaladas y y envía spam a la lista de contactos del usuario. Sin embargo, quizás la mayor amenaza es que Emotet sirve como un vector de entrega para cargas más peligrosas, como TrickBot y otras familias de ransomware.

Emotet es más notorio por el daño colateral infligido como parte de un ataque combinado. Apodado la "triple amenaza" por muchos en seguridad, Emotet se asocia con TrickBot y Ryuk (ransomwares) para un combo de eliminación que asegura la máxima penetración a través de la red para que la información valiosa puedan ser robada y vendida con fines de lucro, mientras que el resto está encriptado para extorsionar a las organizaciones para que paguen el rescate y poder recuperar archivos y sistemas.

Alternativamente, las máquinas comprometidas pueden permanecer inactivas hasta que los operadores decidan entregar el trabajo a otros grupos criminales que exigirán grandes sumas de dinero, hasta US $ 5 millones, a sus víctimas. En el pasado, hemos visto el infame ransomware Ryuk desplegado de esta manera.

Si bien Emotet generalmente se enfoca en infectar organizaciones, los consumidores individuales también pueden estar en riesgo. Los clientes comerciales de Malwarebytes y Malwarebytes para usuarios domésticos de Windows Premium ya están protegidos contra esta campaña, gracias a nuestra tecnología anti-exploit sin firma. Como siempre, recomendamos a los usuarios que sean cautelosos al abrir correos electrónicos con archivos adjuntos, incluso si parecen provenir de conocidos.

 

20190926 Malwarebytes06

Imagen 06: Malwarebytes Endpoint Protection que bloquea el ataque.

 

Protección y remediación

 

Los usuarios que no son clientes de Malwarebytes o que usan el escáner gratuito querrán tomar medidas adicionales para protegerse contra Emotet o limpiar la infección, si es que ya han sido afectados.

Como esta campaña no tiene ni un día, todavía no sabemos el impacto en las organizaciones y otros usuarios. Continuaremos actualizando la información a medida que aprendamos más dia con día. Mientras tanto, advierta a sus compañeros de trabajo, amigos y familiares que tengan cuidado con los correos electrónicos disfrazados de facturas o cualquier otra instancia "phishy".

 

Fuente de información: Malwarebytes Blog