EMOTET, la botnet y amenaza global que ya llego a Chile

Actualizado: 3 de may de 2019


#EMOTET, la botnet de distribución de troyanos bancarios más importante del mundo ya se encuentra apuntando a Chile y Latinoamerica con campañas masivas de Phishing y documentos adjuntos de tipo Microsoft Word principalmente. En este articulo todas las referencias sobre esta nueva amenaza:


La amenaza: Paso de ser un troyano bancario a un completo framework de distribución de amenazas, la variante actual posee módulos de:

- Banking Trojan

- Email Info Stealer

- Browser Info Stealer

- PST Info Stealer

- DDoS Attack

- PowerShell Payload Obfuscator


Además, tiene la capacidad de auto propagarse una vez que ingresa a la red mediante ataques de fuerza bruta y es capaz de capturar cuentas de correo SMTP válidas y enviar esa información a sus SPAMBOT para generar nuevos ataques de ingeniería social.

Más información: https://www.symantec.com/blogs/threat-intelligence/evolution-emotet-trojan-distributor


La noticia (07–11–2018): Un foco de más de cien detecciones del virus informático Emotet, un código malicioso “muy peligroso” que ha robado miles de credenciales bancarias durante los últimos años en Europa, fue detectado la noche de este martes en Costa Rica, informó hoy la firma de ciberseguridad ESET. Fuente: https://noticiassin.com/detectan-foco-del-virus-informatico-bancario-emotet-en-latinoamerica/


Vector de ataque e infección: Utiliza Phishing y Spear Phishing con técnicas de ingeniería social para iniciar la infección. Al obtener una credencial de correo válida para una organización es capaz de propagarse a los contactos de la cuenta.

Utiliza principalmente vulnerabilidades de Microsoft Office para ejecutar código en la máquina y hacer las descargas de sus componentes, se vale de CVE’s como:

CVE-2014–1761CVE-2017–0199CVE-2017–0199CVE-2018–8430CVE-2018–0792


Samples (Sandbox):

https://app.any.run/tasks/ac50a2c6-f5cb-426e-9189-709565258530https://www.hybrid-analysis.com/sample/e9daffb5fc1ef635eca9afcde827b82221c1f6905c6b2d4ba1922f922ed96808?environmentId=120


IOC’s (Indicadores de Compromiso):

Nombres de documentos adjuntos vistos en Chile: anexo.doc y Nuevo-documento.doc

Recopilación de IOC’s actualizados por Malware Researchs:

https://pastebin.com/aEcjTFJd

https://precisionsec.com/threat-intelligence-feeds/emotet/

https://otx.alienvault.com/pulse/5a7e17be6e129a2cdeb7c7c8/

https://otx.alienvault.com/pulse/5b7b02c0be535f34ee30a074


Desofuscando Powershell Payload’s:

En el siguiente link se puede entender como desofuscar los payload’s de powershell de Emotet y sus distintos métodos (String Replace, String Compression y ASCII Array) https://malfind.com/index.php/2018/07/23/deobfuscating-emotets-powershell-payload/

Tool: https://github.com/lasq88/deobfuscate/


También se puede ocupar esta herramienta online: https://gchq.github.io/CyberChef/ con los parámetros (recipe) como se ve en la imagen: http://security5magics.blogspot.com/2018/07/july-emotet-encoded-powershell-observed.html

Recomendaciones de Seguridad:

Para protegerse contra el malware que explota vulnerabilidades de Microsoft en general:

Manténga su suite de MS Office al día con todos los parches de seguridad liberados a la fecha por el fabricante.Si es posible, sustituya los sistemas operativos Windows antiguos por las versiones más recientes.


Otros consejos:

Si recibe un documento de Word por correo electrónico y no conoce a la persona que lo envió, no lo abra.Bloquear macros en documentos de Office.Bloquee el intercambio de archivos a través de la red.Asegúrese de que los usuarios no tengan acceso de administrador predeterminado.Aplicar las mejores prácticas de contraseña.Utilice un antivirus con un escáner de acceso (también conocido como protección en tiempo real).Considere una configuración más estricta de la pasarela de correo electrónico .Nunca apague las funciones de seguridad porque un correo electrónico o un documento lo dice.Sigan a las cuentas en Twitter: https://twitter.com/pollo290987 y https://twitter.com/MalwareTechLab



Ref:

CronUp nace con la misión de maximizar la tranquilidad de las empresas, anticipando situaciones de riesgo que puedan afectar a sus procesos de negocio, provisión de servicios a clientes y canales electrónicos expuestos a Internet.

Escríbenos a

Síguenos en

  • Icono social Twitter
  • Icono social LinkedIn
  • Facebook icono social