Troyano Emotet muy activo en América Latina en archivos adjuntos

  • 0 Respuestas
  • 765 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 926
  • Actividad:
    100%
  • Country: 00
  • Reputación 16
    • Ver Perfil
    • Email


Los delincuentes detrás del troyano EMOTET lanzaron nueva campaña de spam a gran escala en América Latina, con correos en español y utilizando técnicas Fileless que invocan comandos CMD y POWERSHELL.
Emotet es una familia de troyanos bancarios conocida por su arquitectura modular, técnica de persistencia, uso de técnicas Fileless y autopropagación similar a la de los gusanos. Es distribuido a través de campañas de spam utilizando una variedad de técnicas para hacer pasar por legítimos sus adjuntos maliciosos. El troyano es frecuentemente utilizado como un downloader o como un dropper para payloads secundarios potencialmente más dañinos. Debido a su alto potencial destructivo, Emotet fue objeto de un comunicado por parte del CERT de Estados Unidos en julio de 2018.

Análisis

En esta campaña de febrero de 2019, Emotet hace uso de adjuntos maliciosos en Word que se presentan como facturas, notificaciones de pago, alertas de cuentas bancarias, etc, y que simulan ser de organizaciones legítimas.



El compromiso de la víctima comienza abriendo un Word (a veces es un PDF) malicioso que viene como adjunto en un correo spam que aparenta ser de una organización legítima y conocida. Siguiendo las instrucciones en el documento, la víctima habilita los macros en Word o hace clic en el enlace dentro del PDF.

Paso seguido, el payload de Emotet es instalado y ejecutado, establece persistencia en la computadora, y reporta que el compromiso se realizó de manera exitosa a su servidor C&C. Inmediatamente después, recibe instrucciones acerca de qué módulos de ataque y payloads secundarios.

Los módulos extienden las funcionalidades de los payloads iniciales con las siguientes capacidades: robo de credenciales, propagación en la red, recopilación de información sensible, reenvío de puertos, entre otras más.

El aspecto más importante y que puede llevar fácilmente a la confusión de quién recibe la información, es que el correo es enviado (aparentemente) por una persona que es un contacto conocido de la víctima, e incluso está firmado por esta misma persona con la dirección de normalmente utiliza. El usuario recibe entonces un correo electrónico con spoofing de un conocido, con información comercialmente coherente y firmado por la misma persona.



En un seguimiento particular realizado durante febrero en Argentina, se envió una cadena de 5 correos que partieron desde una Factura Disponible, pasando por una Tarifa Especial, un Procedimiento de Pago, una Confirmación de Pago y terminando con el último correo donde el usuario recibe el Recibo de Pago correspondiente. Cada uno de estos correos incluye un documento adjunto .DOC.



Aún así, se siguen distinguiendo errores gramaticales en la redacción de estos correos, productos de una mala traducción literal respecto al contenido de origen, pero como muestran los ejemplos anteriores, cada vez se requiere de más concentración para no caer en el engaño.
El adjunto contiene una macro altamente ofuscada, como la siguiente:



Aquí puede verse el llamado a una shell que posteriormente se traducirá en el llamado a una sentencia ofuscada de PowerShell y/o cmd.

Fuente:
Hacking Land
https://www.hacking.land/2019/02/troyano-emotet-muy-activo-en-am-latina.html

 

Se puede abusar del comando "Finger" de Win 10 para descargar o robar archivos

Iniciado por AXCESS

Respuestas: 0
Vistas: 489
Último mensaje Septiembre 15, 2020, 06:37:25 pm
por AXCESS
Error de actualización de Windows 10 KB4532693 "elimina" archivos de usuarios

Iniciado por Dragora

Respuestas: 0
Vistas: 914
Último mensaje Febrero 20, 2020, 08:06:43 pm
por Dragora
Microsoft retira Windows 10 October 2018 Update porque estaba borrando archivos

Iniciado por graphixx

Respuestas: 0
Vistas: 1737
Último mensaje Octubre 07, 2018, 05:58:44 pm
por graphixx
Análisis Detallado:Fallas de WannaCry permiten restaurar archivos tras el ataque

Iniciado por graphixx

Respuestas: 2
Vistas: 2687
Último mensaje Junio 19, 2017, 08:16:31 pm
por graphixx
Investigadores encuentran un nuevo truco para leer el contenido de archivos PDF

Iniciado por Dragora

Respuestas: 0
Vistas: 322
Último mensaje Octubre 01, 2019, 04:16:38 pm
por Dragora