Correo no deseado de Emotet que llega a los buzones de correo de todo el mundo

Iniciado por Dragora, Noviembre 17, 2021, 09:04:01 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


El malware Emotet entró en acción ayer después de una pausa de diez meses con múltiples campañas de spam que entregan documentos maliciosos a los buzones de correo de todo el mundo.

Emotet es una infección de malware que se distribuye a través de campañas de spam con archivos adjuntos maliciosos. Si un usuario abre el archivo adjunto, las macros maliciosas o JavaScript descargarán la DLL de Emotet y la cargarán en la memoria usando PowerShell.

Una vez cargado, el malware buscará y robará correos electrónicos para usarlos en futuras campañas de spam y arrojará cargas útiles adicionales como TrickBot o Qbot que comúnmente conducen a infecciones de ransomware.

El spam de Emotet comienza de nuevo

Anoche, el investigador de ciberseguridad Brad Duncan publicó un SANS Handler Diary sobre cómo la botnet Emotet había comenzado a enviar spam a múltiples campañas de correo electrónico para infectar dispositivos con el malware Emotet.

Según Duncan, las campañas de spam utilizan correos electrónicos en cadena de repetición para atraer al destinatario a abrir archivos adjuntos de Word, Excel y ZIP protegidos con contraseña.

Los correos electrónicos de phishing de cadena de respuesta se producen cuando se utilizan hilos de correo electrónico previamente robados con respuestas falsas para distribuir malware a otros usuarios.

En las muestras compartidas por Duncan, podemos ver a Emotet usando cadenas de respuesta relacionadas con una "billetera perdida", una venta de CyberMonday, reuniones canceladas, campañas de donación política y la terminación del seguro dental.

Se adjuntan a estos correos electrónicos documentos de Excel o Word con macros maliciosas o un archivo adjunto ZIP protegido con contraseña que contiene un documento de Word malicioso, con ejemplos que se muestran a continuación.



Correo electrónico Emotet con archivo adjunto de Excel
Fuente: Brad Duncan


Correo electrónico Emotet con documento de Word adjunto
Fuente: Brad Duncan


Correo electrónico Emotet con un archivo ZIP protegido con contraseña
Fuente: Brad Duncan

Actualmente, se están distribuyendo dos documentos maliciosos diferentes en las nuevas campañas de spam de Emotet.

La primera es una plantilla de documento de Excel que indica que el documento solo funcionará en computadoras de escritorio o portátiles y que el usuario debe hacer clic en 'Habilitar contenido' para ver el contenido correctamente.


Archivo adjunto malicioso de Microsoft Excel
Fuente: Brad Duncan


El adjunto malicioso de Word usa la plantilla ' Red Dawn ' y dice que como el documento está en modo "Protegido", los usuarios deben habilitar el contenido y la edición para verlo correctamente.


Archivo adjunto de Microsoft Word Red Dawn
Fuente: Brad Duncan


Cómo infectan los dispositivos los archivos adjuntos de Emotet

Cuando abra los archivos adjuntos de Emotet, la plantilla del documento indicará que la vista previa no está disponible y que debe hacer clic en 'Habilitar edición' y 'Habilitar contenido' para ver el contenido correctamente.

Sin embargo, una vez que haga clic en estos botones, se habilitarán macros maliciosas que ejecutan un comando de PowerShell para descargar la DLL del cargador Emotet de un sitio de WordPress comprometido y guardarla en la carpeta C: \ ProgramData.


Comando de PowerShell para descargar y ejecutar la DLL de Emotet
Fuente: BleepingComputer

Una vez descargada, la DLL se iniciará usando C: \ Windows \ SysWo64 \ rundll32.exe, que copiará la DLL a una carpeta aleatoria en% LocalAppData% y luego volverá a ejecutar la DLL desde esa carpeta.


Carpeta que contiene la DLL Emotet renombrada
Fuente: BleepingComputer

Después de un tiempo, Emotet configurará un valor de inicio en HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run para ejecutar el malware cuando se inicie Windows.


Entrada de ejecución del registro utilizada para cargar Emotet al inicio
Fuente: BleepingComputer

El malware Emotet ahora permanecerá ejecutándose silenciosamente en segundo plano mientras espera que los comandos se ejecuten desde su servidor de comando y control.

Estos comandos podrían ser para buscar correo electrónico para robarlo, propagarlo a otras computadoras o instalar cargas útiles adicionales, como los troyanos TrickBot o Qbot.


Flujo de ataque de Emotet
Fuente: Brad Duncan


En este momento, BleepingComputer no ha visto ninguna carga útil adicional lanzada por Emotet, lo que también ha sido confirmado por las pruebas de Duncan.

"Solo he visto actividad de spambot de mis hosts infectados con Emotet recientes", dijo Duncan a BleepingComputer. "Creo que Emotet se está restableciendo esta semana".

"Quizás veamos algunas cargas útiles de malware adicionales en las próximas semanas", agregó el investigador.

Defenderse contra Emotet

La organización de monitoreo de malware y botnet No tienes permitido ver los links. Registrarse o Entrar a mi cuenta ha publicado una lista de 245 servidores de comando y control que los firewalls perimetrales pueden bloquear para evitar la comunicación con los servidores de comando y control.

El bloqueo de la comunicación con C2 también evitará que Emotet deje caer más cargas útiles en los dispositivos comprometidos.

Una operación internacional de aplicación de la ley eliminó la botnet Emotet en enero de 2021 y, durante diez meses, el malware no ha estado activo.

Sin embargo, a partir del domingo por la noche, las infecciones activas de TrickBot comenzaron a dejar caer el cargador Emotet en dispositivos ya infectados, reconstruyendo la botnet para la actividad de spam.

El regreso de Emotet es un evento importante que todos los administradores de red, profesionales de seguridad y administradores de Windows deben monitorear para detectar nuevos desarrollos.

En el pasado, Emotet se consideraba el malware de mayor distribución y tiene muchas posibilidades de recuperar su clasificación anterior.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta