Blog

Emotet agrega «nuevas» características a su Modus Operandi

Emotet, una de las botnets más grandes y utilizadas por diferentes actores de amenazas alrededor del mundo ha renovado su infraestructura, como también, su modus operandi para comprometer a un equipo en particular o una infraestructura en general, siendo su principal foco de atención de acceso, el utilizar la ingeniería social y llamada de acción al usuario final para que descargue un archivo y lo ejecute en la estación de trabajo.

Desde la reactivación de Emotet, después de haber estado sin operaciones debido a la intervención de las fuerzas del orden y seguridad que logró desmantelar toda la infraestructura a principios de 2021, Emotet ha regresado con más fuerza que nunca y eso se puede notar al analizar las nuevas muestras que están apareciendo en la red, detectándose nuevamente su activación a mitad de noviembre de 2021.

Emotet sigue evolucionando para trabajar con nuevas técnicas de infección. La última versión de malware ha presentado algunos cambios menores, ya que aprovecha el binario MSHTA.exe, y en general, aprovecha el sistema de Microsoft Office (principalmente Excel) con Macro 4.0 para lograr ejecutar el CMD, Wscript o Powershell, lo que inicia otro proceso como MSHTA, el cual luego descarga el Payload principal.

Diagrama de infección inicial hasta el Payload principal
Imagen: Any.run

La botnet está interesada en enmascarar sus conexiones y contenido maliciosos como las URLs, IPs, comandos o incluso, shellcodes. Pero a veces (por no decir siempre), puede obtener la lista de URL e IP del script del archivo pasándolos por un sandbox interno o externo. Entre Any.run y Joe SandBox son los más recomendables para identificar sus conexiones a los C2. Siempre y cuando asumas que tus muestras serán públicas. A menos que pagues una licencia por su uso interno.

Actualmente, se ha identificado que Emotet trabaja con Cobalt Strike. Al tenerlo en el escenario, significa que el tiempo entre la infección inicial y un ataque de ransomware se acorta enormemente. En especial si se crean balizas personalizadas por cada actor de amenazas.

Captura de paquetes de conexiones de Emotet
Imagen: Unit 42

Y para finalizar, Emotet cambió de archivos .EXE a .DLL hace ya un tiempo, por lo cual utiliza una nueva cadena de ejecución que ha estado evolucionado y ha cambiado del tradicional archivo .EXE, a un archivo .DLL, cuyo payload se carga a través del proceso Rundll32. Además, ahora ha agregado mensajes de error falsos a los documentos preparados en Microsoft Office.

Emotet seguirá dando guerra y desafiando a los cazadores de malwares, investigadores y a sus víctimas para no ser detectados.

IOCs:

79632817ea47105758be84d523a5f168
f4779bcf0dc4ed5bab9b11092f272621
330b13735be71195b3d68ada511aa5c6
033212c3c33edd820225d0dd21c01116

185[.]7[.]214[.]7
91[.]240[.]118[.]172
131[.]100[.]24[.]231
54[.]36[.]91[.]62
34[.]98[.]99[.]30
66[.]175[.]58[.]9
174[.]136[.]15[.]27
184[.]171[.]244[.]38
198[.]12[.]243[.]55
74[.]208[.]236[.]131
132[.]148[.]230[.]59

http://91[.]240[.]118[.]172/hh/hh.html
http://formula8020[.]com/css/56Dzi0P/
http://mecaglobal[.]com/qxim/TlDTjlxYAdwU/
http://mecaglobal[.]com/wp-admin/setup-config.php
http://2021.posadamision[.]com/wp-admin/gO7Qvfd1/

Más Información

https://blogs.vmware.com/networkvirtualization/2022/01/emotet-is-not-dead-yet.html/

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required