Análisis de malware

Emotet regresa en verano de con nuevas mejoras

15 de diciembre de por Pedro Tavares

Introducción

Emotet es un troyano modular y autopropagador descubierto por primera vez en y una ciberamenaza popular en todo el mundo. Inicialmente se desarrolló como un troyano bancario pero se reinventó como distribuidor de otros malware como Trickbot y Ryuk , utilizados para explorar varios y diferentes escenarios tras comprometer un ordenador. Este artículo abordará los nuevos cambios para evitar los motores antivirus utilizados por TA542, el actor de amenazas que distribuye este malware de forma natural.

Según la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. , Emotet se considera “una de las amenazas actuales más frecuentes”, ya que afecta a los gobiernos estatales y locales. En general, Emotet utiliza múltiples métodos para mantener la persistencia y técnicas de evasión para evitar la detección. Se propaga a través de correos electrónicos no deseados de phishing que contienen archivos adjuntos o URL maliciosos.

La ola de Emotet en el verano de

El grupo malicioso (TA542) que opera el malware Emotet en todo el mundo disminuyó la actividad de Emotet durante. Esa ausencia de cinco meses se extendió del 7 de febrero al 17 de julio de. De hecho, este fue visto como el feriado más largo conocido en la línea de tiempo de Emotet. desde.

Sin embargo, Emotet sigue siendo una amenaza grave y peligrosa y, a menudo, se actualiza para evitar detecciones tempranas. La pausa entre febrero y julio fue un momento para mejorar el empaquetador/cargador de Emotet por parte de delincuentes, como afirma Proofpoint .

Los nuevos cambios e innovaciones importantes incluyen:

• La difusión del módulo Qbot como carga útil principal en lugar del conocido Trickbot
• Una modificación en el módulo de correo que ahora adjunta archivos adjuntos benignos junto con otros maliciosos

La investigación de Proofpoint señaló pequeños cambios, que incluyen:

• El volumen de países objetivo observado es significativo. De esta manera, los actores de amenazas continúan utilizando plantillas de correo electrónico genéricas, como las de COVID-19, para atraer a las víctimas.
• Nuevas mejoras en los diseños de maldocs (adjuntos de Word) con macros maliciosas incrustadas, archivos adjuntos en PDF con datos confidenciales y URL de archivos de Word disponibles en Internet
• El actor de amenazas continúa apuntando a un conjunto de países, incluidos Alemania, Austria, Suiza, Estados Unidos, Reino Unido y Canadá. Ahora también apunta a Indonesia, Filipinas, Suecia, India y España.

La 1 presenta el volumen de mensajes de Emotet en los últimos tres años (del 19 de abril de al 18 de agosto de) desde una perspectiva visual.

1: El volumen de mensajes de Emotet en los últimos tres años

Uno de los países afectados más recientemente es España, como se mencionó anteriormente. La industria en España se ha visto afectada en gran medida por esta amenaza : este malware afectó al 16,8% de las empresas españolas en septiembre de este año, lo que representa un 2% por encima de la media mundial.

Profundizando en los cambios del empaquetador de Emotet

Durante el verano de, se observó una nueva ola de Emotet atacando a varios países, con nuevas mejoras para evitar la detección. El aumento significativo en las descargas del cargador de Emotet está asociado con un cambio en el empaquetador de Emotet que provoca una baja detección por parte de los motores AV. Este cambio dificulta las detecciones de Emotet y afecta el bloqueo de las URL maliciosas utilizadas para descargar las siguientes etapas de Internet.

Según Hornetsecurity , el 18 de agosto de se observaron cambios en el cargador de Emotet. El spam de Emotet regresa y el cargador ahora está protegido con un empaquetador diferente y más sofisticado.

2 : Emotet cambia el cronograma de febrero a julio de

Como se detalló anteriormente, el empaquetador Emotet condujo a una tasa de detección más baja del cargador Emotet por parte de los motores AV. Con este nuevo truco, la amenaza puede afectar y eludir varias restricciones de seguridad, aumentando su impacto. El cargador desempaquetado también recibió varias actualizaciones, lo que convierte a Emotet en una verdadera arma cibernética. Debido a esto, el volumen de descargas del cargador de Emotet aumentó en contraste con los últimos meses, donde un problema de desbordamiento del buffer explotado como una vacuna llamada Emocrash casi detuvo la amenaza.

Nuevas plantillas de Emotet

El esquema de difusión de Emotet es muy popular. La amenaza se comparte a través de un archivo adjunto maldoc (archivo de Word) con una plantilla de correo electrónico malicioso en su interior o mediante URL que descargan el documento de Word de destino de Internet (a menudo un sitio web comprometido).

3: Plantilla de correo electrónico malicioso de Emotet: septiembre de

Cuando se abre el archivo doc, un mensaje le pedirá a la víctima que ” Habilite contenido ” para que se ejecuten macros maliciosas para instalar el malware Emotet en la computadora infectada. Para atraer a las víctimas a habilitar macros, Emotet ha estado usando una plantilla de documento que informa que no se puede abrir porque fue creado en el sistema iOS (una trampa).

4: Archivo Doc con macro maliciosa en su interior que ejecuta la siguiente etapa (cargador de Emotet)

Según el análisis de Hornetsecurity , la proporción de URL de descarga que apuntan al cargador de Emotet ha aumentado ( el 19 de agosto de). Esto se debe al hecho de que los archivos doc de Emotet (documentos de Word) ahora usan seis o siete URL maliciosas codificadas en lugar de cinco para descargar la siguiente etapa, como se ve en la 5.

5: URL del cargador de Emotet: septiembre de

Además, dos días después de la actualización del packer el 19 de agosto de, las estadísticas de descarga de Emotet indican que el loader se descargó a un ritmo de unas 25.000 veces por hora en promedio, un aumento del 1.000%. El siguiente gráfico muestra la relación entre el cargador de Emotet y las descargas de maldoc de Emotet, así como su volumen (resultados del 19 de agosto de).

6: Relación entre el cargador de Emotet y las descargas de maldoc de Emotet: agosto de ( Hornetsecurity )

El aumento está relacionado con los cambios recientes en el empaquetador de Emotet. Los motores AV no detectan muy bien esta nueva mejora. Como resultado, la 7 a continuación muestra que las URL codificadas dentro del cargador de Emotet analizado no figuran en VirusTotal y la primera etapa de Emotet no se bloquea cuando se ejecuta en las computadoras de la víctima.

7: URL de Emotet no detectadas después de la modificación del empaquetador: agosto de

Con este nuevo truco, los delincuentes pueden abusar de esta amenaza global para infectar una gran cantidad de computadoras y organizaciones, y usar Emotet para entregar cargas útiles adicionales como Trickbot y Ryuk en etapas posteriores.

Finalmente, es interesante comprender que el éxito de Emotet es el resultado de un conjunto de pasos bien definidos y conocidos, a saber:

• Puede propagarse a través de redes Wi-Fi cercanas.
• Emotet utiliza un esqueleto polimórfico para cambiar sus características, lo que dificulta su detección.
• El enfoque sin archivos, como los scripts de PowerShell, dificulta el análisis y la detección de las infecciones posteriores.
• Emotet aprovecha funciones similares a gusanos que roban contraseñas de administrador y las utilizan para propagarse por una red, infectando así a nuevos usuarios y máquinas.
• Realiza secuestro de correo electrónico para llegar a otras víctimas.

Medidas de prevención

Se presentan algunas medidas de prevención con el fin de contener potenciales contagios. No se centran en la amenaza Emotet, sino en todo tipo de amenazas que afectan a los usuarios de Internet en general:

• No descargue archivos adjuntos sospechosos ni haga clic en URL sospechosas. Detectar posibles correos electrónicos maliciosos y esquemas de ingeniería social es lo más importante para librar esta guerra. En este sentido, los programas de sensibilización se muestran como la mejor forma de promover la educación de los internautas.
• Indique a los usuarios que creen contraseñas seguras y complejas. El uso de MFA debe adoptarse como regla general obligatoria para evitar accesos no autorizados
• Es necesario crear un programa de ciberseguridad que incluya protección multicapa con productos comerciales para detectar y bloquear infecciones de Emotet en tiempo real.
• Y por último, pero no menos importante, mantenga actualizado el software, los productos antimalware y el sistema operativo.

Conclusión

Emotet está operando con la misma intensidad registrada a principios de este año. Luego de un período de ausencia, la amenaza volvió a ser preocupación para varias entidades alrededor del mundo. Este malware se considera el malware más difundido dirigido a usuarios de Internet en la actualidad y que opera desde. Emotet es una amenaza crítica, ya que se utiliza para difundir otros malware peligrosos como Trickbot, QBot y Ryuk en las computadoras de las víctimas. Con este modus operandi implementado, Emotet puede realizar diferentes actividades maliciosas: robar contraseñas almacenadas, cookies e información bancaria, e incluso ejecutar ataques de ransomware.

Como Emotet es una amenaza salvaje que se propaga a través del correo electrónico, reconocer las plantillas maliciosas utilizadas se considera una tarea inicial e importante para evitar infecciones maliciosas.

Fuentes

El nuevo archivo adjunto ‘Red Dawn’ del malware Emotet es igual de peligroso , Bleeping Computer

Emotet , MITRE

La actualización de Emotet aumenta las descargas , Hornetsecurity

Emotet alarma en España, más del 16% de los comercios afectados en septiembre , Morning Tick

Una mirada completa al regreso de Emotet en el verano de , Proofpoint

Informe de amenazas: Análisis de la triple cadena de Emotet – Portugal , Segurança Informática