TOP Malware Series: EMOTET

¿Que es EMOTET?

EMOTET (también conocido como Heodo o Geodo) tuvo aparición en el año 2014 cuando fue catalogado como troyano bancario, sin embargo, con el tiempo ha adquirido nuevas y robustas capacidad de botnet, al punto de convertirse en un verdadero CDN (Content Delivery Network) capaz de instalar otras amenazas en el equipo o red víctima, lo que se conoce como "loader". Hoy en día EMOTET pone en jaque a las empresas del mundo al incluir en sus ataques técnicas avanzadas de ingeniería social y mecanismos para evitar la inteligencia artificial y el aprendizaje automático.

Módulos de EMOTET

Desde su introducción, esta amenaza ha utilizado varios módulos:

• Main module: Descarga otros módulos desde un servidor de comando y control.

• Spam module: El módulo de spam facilita la propagación continua de la botnet de Emotet al enviar correos electrónicos con enlaces o archivos adjuntos que conducen a la descarga de la amenaza. La distribución se realiza utilizando las cuentas de correo previamente recopiladas, que se envían a cada spambot" desde el C&C.

• Credential stealing: Roba credenciales de navegadores web y clientes de correo, utilizando las herramientas de NirSoft Mail PassView y WebBrowser PassView.

• Spreader module: Enumera los recursos de la red para intentar propagarse hacia otras máquinas, también se generan ataque de fuerza bruta intentando contraseñas de una lista codificada en el código de EMOTET. Por cada inicio de sesión exitoso, se copia un archivo en la nueva carpeta de red y se configura un servicio en el sistema remoto para ejecutar el archivo.

• Email harvesting: Extrae el contenido del correo electrónico de las máquinas infectadas a los C&C. Los componentes específicos del correo electrónico incluyen el asunto, el cuerpo, el nombre del remitente y el receptor, junto con su dirección de correo electrónico correspondiente. Esta información solo se recopila para correos electrónicos enviados / recibidos en los últimos 180 días.

• Address book stealer: Extrae la lista de direcciones desde la libreta de contactos para cada perfil almacenado en el equipo.

• DDoS module: Permite generar ataques distribuidos de denegación de servicios a los servidores que se especifiquen (NO operativo).

• Banking module: Permite el robo de credenciales bancarias (NO operativo).

Distribución de EMOTET

EMOTET se distribuye a través de campañas de spam, con correos Phishing que llaman a la acción del receptor y que contienen o un archivo adjunto o un enlace para la descarga de un archivo que finalmente realiza la instalación de la amenaza.

Según los archivos adjuntos, se han visto de los siguientes tipos:

• Documentos de Microsoft Word con macros.

• PDF con enlaces a documentos de Microsoft Word con macros.

• PDF con enlaces a archivos ZIP con archivos JS.

• Archivos ZIP protegidos con contraseña que contienen archivos JS.

• Archivos ZIP protegidos con contraseña que contienen archivos de Microsoft Word.

Según los enlaces de los correos, se han visto de los siguientes tipos:

• URL que redireccionan a documentos de Microsoft Word con macros.

• URL que redireccionan a documentos comprimidos de Microsoft Word con macros.

• URL que redireccionan a un archivo JS.

• URL que redireccionan a un archivo JS comprimido.

Lo más comun es recibir un documento Microsoft Word como el siguiente, que al habilitar la edición, la amenaza se ejecuta e inicia el flujo de infección.

A continuación, algunos ejemplos de los correos Phishing enviados en estas campañas.

Flujo de Infección de EMOTET

La siguiente secuencia representa el flujo de infección tradicional.

Objetivos Geográficos de EMOTET

Según múltiples fuentes y reportes de investigadores y empresas de Ciberseguridad, EMOTET ha estado presente en múltiples países desde su fecha de descubrimiento entre ellos Estados Unidos, Canadá, Alemania, Suiza, Taiwan, Hong Kong, China, Japón, Polonia, Reino Unido y Australia. A nivel latinoamericano esta presente en Chile, Argentina, Brasil, Uruguay, Paraguay, Bolivia, Perú, Colombia, Ecuador, Costa Rica, El Salvador, Guatemala, República Dominicana y México.

Indicadores de Compromiso

IP addresses 181.188.149.134 68.44.137.144 82.223.70.24 124.150.175.133 152.231.123.2 103.38.12.139 104.236.52.89 103.31.232.93 152.170.196.157 51.159.23.217 62.75.150.240 101.187.247.29 5.196.74.210 82.155.161.203 176.31.200.130 67.225.179.64 167.99.105.223 66.209.97.122 165.227.156.155 104.137.176.186 Hashes ee34dd44023cc8c988ae1359a020b20771d95ae1f3bc28a59f68b98580b5a634 c39b8bee08c9498612fe92ad0662f5f834c30b17d4425bb0eeffdae0ba024340 45f82027cc9169dd2da35fefbec67326fcc059aa0e98179580d442d17ca1b05d fc712fc2a233ad1dac3f1f816da7578fd251d312dc0804788a02b1a097c60c80 eef197d7ce673fb961ac2bccb7599361a111e4a8fd27efb096d1ad86597777eb ee1a8de0b16b9f1e50c5b0828e907139a493da442ee79f0d1bb2c27a2dd5aa30 a355a811e7bf3aa2ee435963c8422d50ed44740a2117a0ced981b70c2f379dc6 ccd8d565adaf79f1230f2ae46fb80aa78f9284a13032aafeb8da08409458252b 50833042964fcab298ba8dc1e2690286d1c82ad4ff84abc209484c2adffb8de1 afd31d5a99f78a96f60a9ce650989afdd17bcc6579d4f2ef2a303a9e147408c6 6f7d465d3967fe71bec4131fe56a3a150daf30ab1d3e39b2c4105fc9ed4aba18 54817ccd7e62de459d15b2c87d72f0baf9f71892d99ad50aec7745ffc3d1ff35 14f8463a86bbae338925fbbcb709953ae7f1bffdb065fee540b6fa88fbbce70e 9178d27cb4cdc0b3b47b0a97ae03391c4fbc57e8a9c70ad7aa57dc95e01c9063 306e189a9d0a3b47125acf2261285cb3f220f3b9c39344aa972952f8e29b5a1a 8b736d0f8f57faf69fb75e4b9efeb78f16d08c1bd3f2662cd753c45a8b2217cd 3c6abf286c8a0642251bfbe6e7edebeb7515c029dfc08f3666e4633f3eadbcd0 e7dc2dc316cc3b1a2f475ba1bced5a9b4fcad1b1c4956da980db875b5ae0c1e7 612cf7e24a95015ab179e28128a209280e35d03a1c14f3ea84e8cc96c60e2cea c9d518b632c90ac8d06260f85163bd3c1a5c8ac68778424e33f0471c379f58d6 Domains elx01.knas.systems adonis-medicine.at isns.net fcl-cp01-dns.fastcom.co.nz ns2.fastcom.co.nz cpdns02.fastcom.co.nz wex-notdead.ru majul.com www.poderefortuna.com charlespisano.com ifoundyou.com erutinruf.com manager.dosbnewmedia.de qxq.ddns.net krupskaya.com m-onetrading-jp.com thuocnam.tk nilotechecycling.com www.blackstarinsider.co.uk blackstarinsider.co.uk

CVE usados por EMOTET

• CVE-2014–1761

• CVE-2017–0199

• CVE-2017–0199

• CVE-2018–8430

• CVE-2018–0792

Recomendaciones de seguridad

• Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).

• Mantenga una postura escéptica y desconfíe de mensajes sospechosos.

• No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.

• No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.

• Manténgase informado de las últimas amenazas y riesgos en Internet.

• Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.

• Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).

Artículos relacionados

• https://malpedia.caad.fkie.fraunhofer.de/details/win.emotet

• https://blog.malwarebytes.com/detections/trojan-emotet/

• https://blog.f-secure.com/hunting-for-emotet/

• https://www.f-secure.com/v-descs/trojan_w32_emotet.shtml

• https://any.run/malware-trends/emotet

• https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta542-banker-malware-distribution-service