Emotet ahora usa archivos de acceso directo de Windows (.LNK)

La botnet Emotet ahora usa archivos de acceso directo de Windows (.LNK) que contienen comandos de PowerShell para infectar las computadoras de las víctimas, alejándose de las macros de Microsoft Office que ahora están deshabilitadas de manera predeterminada.

El uso de archivos .LNK no es nuevo, ya que la pandilla de Emotet los usó anteriormente en combinación con el código Visual Basic Script (VBS) para crear un comando que descarga la carga útil. Sin embargo, esta es la primera vez que utilizan los accesos directos de Windows para ejecutar directamente los comandos de PowerShell.

Nueva técnica tras campaña fallida

El viernes pasado, los operadores de Emotet  desconectaron una campaña de phishing  porque fallaron en su instalador después de usar un nombre de archivo estático para hacer referencia al acceso directo malicioso .LNK.

Lanzar el acceso directo activaría un comando que extraería una cadena de código VBS y la agregaría a un archivo VBS para ejecutarlo.

Sin embargo, como los archivos de acceso directo distribuidos tenían un nombre diferente al estático que estaban buscando, no se podía crear el archivo VBS correctamente. La pandilla solucionó el problema ayer.

Hoy, los investigadores de seguridad notaron que Emotet cambió a una nueva técnica que usa comandos de PowerShell adjuntos al archivo LNK para descargar y ejecutar un script en la computadora infectada.

La cadena maliciosa añadida al archivo .LNK está ofuscada y rellenada con nulos (espacios en blanco) para que no se muestre en el campo de destino (el archivo al que apunta el acceso directo) del cuadro de diálogo de propiedades del archivo.


El archivo .LNK malicioso de Emotet incluye direcciones URL de varios sitios web comprometidos que se utilizan para almacenar la carga útil del script de PowerShell. Si el script está presente en una de las ubicaciones definidas, se descarga en la carpeta temporal del sistema como un script de PowerShell con un nombre aleatorio.

A continuación se muestra la versión desofuscada de la cadena maliciosa Emotet adjunta a la carga útil .LNK:


Este script genera y ejecuta otro script de PowerShell que descarga el malware Emotet de una lista de sitios comprometidos y lo guarda en la carpeta %Temp%. Luego, la DLL descargada se ejecuta con el comando regsvr32.exe.

La ejecución del script de PowerShell se realiza mediante la utilidad de línea de comandos Regsvr32.exe y finaliza con la descarga y ejecución del malware Emotet.

El investigador de seguridad  Max Malyutin  dice que junto con el uso de PowerShell en archivos LNK, este flujo de ejecución es nuevo para la implementación de malware de Emotet.

Nueva técnica en ascenso

El grupo de investigadores de Cryptolaemus, que está monitoreando de cerca la actividad de Emotet, señala que la nueva técnica es un claro intento del actor de amenazas de eludir las defensas y la detección automática.

Los investigadores de seguridad de la empresa de ciberseguridad ESET también notaron que el uso de la nueva técnica Emotet ha aumentado en las últimas 24 horas.


Los datos de telemetría de ESET muestran que los países más afectados por Emotet a través de la nueva técnica son México, Italia, Japón, Turquía y Canadá.

Además de cambiar a PowerShell en archivos .LNK, los operadores de botnets de Emotet han realizado algunos otros cambios desde que reanudaron la actividad a niveles más estables en noviembre, como  pasar a módulos de 64 bits .

El malware generalmente se usa como puerta de entrada para otro malware, en particular amenazas de ransomware como Conti.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta