Emotet, una de las botnets más grandes y utilizadas por diferentes actores de amenazas alrededor del mundo ha renovado su infraestructura, como también, su modus operandi para comprometer a un equipo en particular o una infraestructura en general, siendo su principal foco de atención de acceso, el utilizar la ingeniería social y llamada de acción al usuario final para que descargue un archivo y lo ejecute en la estación de trabajo.
Desde la reactivación de Emotet, después de haber estado sin operaciones debido a la intervención de las fuerzas del orden y seguridad que logró desmantelar toda la infraestructura a principios de 2021, Emotet ha regresado con más fuerza que nunca y eso se puede notar al analizar las nuevas muestras que están apareciendo en la red, detectándose nuevamente su activación a mitad de noviembre de 2021.



Imagen: Any.run
Emotet sigue evolucionando para trabajar con nuevas técnicas de infección. La última versión de malware ha presentado algunos cambios menores, ya que aprovecha el binario MSHTA.exe, y en general, aprovecha el sistema de Microsoft Office (principalmente Excel) con Macro 4.0 para lograr ejecutar el CMD, Wscript o Powershell, lo que inicia otro proceso como MSHTA, el cual luego descarga el Payload principal.

Imagen: Any.run
La botnet está interesada en enmascarar sus conexiones y contenido maliciosos como las URLs, IPs, comandos o incluso, shellcodes. Pero a veces (por no decir siempre), puede obtener la lista de URL e IP del script del archivo pasándolos por un sandbox interno o externo. Entre Any.run y Joe SandBox son los más recomendables para identificar sus conexiones a los C2. Siempre y cuando asumas que tus muestras serán públicas. A menos que pagues una licencia por su uso interno.
Actualmente, se ha identificado que Emotet trabaja con Cobalt Strike. Al tenerlo en el escenario, significa que el tiempo entre la infección inicial y un ataque de ransomware se acorta enormemente. En especial si se crean balizas personalizadas por cada actor de amenazas.
2022-02-10 (Thursday) – We continue to see #CobaltStrike from #Emotet infections – A list of IOCs from our latest example is available at: https://t.co/yMtJdUVjGM pic.twitter.com/4Hpm3MaRwR
— Unit 42 (@Unit42_Intel) February 11, 2022
Imagen: Unit 42
2022-02-22 (Tuesday) – #Emotet stopped spamming after 2022-02-10, but the two Emotet botnets (#epoch4 and #epoch5) have started spamming
— Unit 42 (@Unit42_Intel) February 23, 2022
again.
– IOCs for Emotet epoch4:https://t.co/U2wvl14R6d
– IOCs for Emotet epoch5:https://t.co/gyYIAFGd8j pic.twitter.com/MQqsvT8pj6
Y para finalizar, Emotet cambió de archivos .EXE a .DLL hace ya un tiempo, por lo cual utiliza una nueva cadena de ejecución que ha estado evolucionado y ha cambiado del tradicional archivo .EXE, a un archivo .DLL, cuyo payload se carga a través del proceso Rundll32. Además, ahora ha agregado mensajes de error falsos a los documentos preparados en Microsoft Office.
Emotet seguirá dando guerra y desafiando a los cazadores de malwares, investigadores y a sus víctimas para no ser detectados.
IOCs:
79632817ea47105758be84d523a5f168
f4779bcf0dc4ed5bab9b11092f272621
330b13735be71195b3d68ada511aa5c6
033212c3c33edd820225d0dd21c01116
185[.]7[.]214[.]7
91[.]240[.]118[.]172
131[.]100[.]24[.]231
54[.]36[.]91[.]62
34[.]98[.]99[.]30
66[.]175[.]58[.]9
174[.]136[.]15[.]27
184[.]171[.]244[.]38
198[.]12[.]243[.]55
74[.]208[.]236[.]131
132[.]148[.]230[.]59
http://91[.]240[.]118[.]172/hh/hh.html
http://formula8020[.]com/css/56Dzi0P/
http://mecaglobal[.]com/qxim/TlDTjlxYAdwU/
http://mecaglobal[.]com/wp-admin/setup-config.php
http://2021.posadamision[.]com/wp-admin/gO7Qvfd1/
Más Información
https://blogs.vmware.com/networkvirtualization/2022/01/emotet-is-not-dead-yet.html/

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.