Seguridad Informática. Análisis de la última campaña de propagación de Emotet

Escrito por Diego Perez

Un análisis sobre el funcionamiento de esta nueva campaña de Emotet que afecta a varios países de América Latina y que se aprovecha de archivos de Microsoft Office para ocultar su acción maliciosa.

A principios de esta semana, alertábamos sobre una nueva campaña masiva de spam que aprovechaba para propagar Emotet. Dado que tuvo gran incidencia en algunos países de América Latina y que estuvimos recibiendo varias consultas a lo largo de estos últimos días, decidimos publicar una breve explicación de como funcionaba esta campaña de propagación.

Si bien a lo largo de los últimos años hemos visto como los cibercriminales se han aprovechado de la suite de ofimática de Microsoft para propagar sus amenazas, desde simples macros embebidas en los archivos hasta la explotación de vulnerabilidades, en esta oportunidad nos encontramos con una implementación por lo menos curiosa de un downloader dentro de un archivo de Office, que causó confusión entre muchos usuarios que nos preguntaron sobre cómo estaba funcionando esta amenaza.

La propagación iniciaba con un correo electrónico, que en realidad no tenía alguna característica particular. De hecho es bastante similar a lo que ya conocemos de este tipo de campañas

Huella digital - Correo con un documento Word en adjunto que simula ser una factura.

Correo con un documento Word en adjunto que simula ser una factura.


huella digital - Análisis de la última campaña de propagación de Emotet

Solicitud para habilitar las macros en el documento.

Una de las muestras adjuntas en estos correos, cuando el usuario decidía aceptar la descarga y abría el documento, como era de esperarse tiene se le solicita habilitar las macros para que se ejecute una función embebida en el archivo, con la excusa de que debe habilitar el documento.

Claramente este comportamiento ya es conocido como malicioso. Pero la artimaña que en esta campaña estaban utilizando los cibercriminales tienen ciertas características particulares. Al momento de querer ver la macro, no es muy extensa y a simple vista pareciera que no se trata de las ya conocidas macros que tratan de conectarse a un sitio web para descargar una muestra, ¿o si?

Un vistazo a la macro, llama la atención que lo que hace esta función es leer un TextBox. ¿Pero donde está el TextBox?. Después de buscarlo, resulta que hay un objeto imperceptible en la parte superior izquierda de la hoja, que si lo ampliamos llegamos a ver lo que contiene.

huella digital - Análisis de la última campaña de propagación de Emotet

Efectivamente este TextBox contiene un comando cmd, el cual ejecuta un script en PowerShell para intentar conectar con 5 sitios y poder descargar finalmente el payload, que en este caso corresponde a una variante ofuscada de Emotet.

Tal como mencionábamos en post anteriores, una vez que se ejecuta el payload , establece persistencia en la computadora, y reporta que el compromiso se realizó de manera exitosa a su servidor C&C. A partir de esta infección inicial se pueden descargar módulos de ataque y payloads secundarios que realicen otro tipo de acciones sobre la computadora comprometida.

Los diferentes módulos adicionales extienden las capacidades maliciosas que pueden llegar a comprometer el dispositivo del usuario, incluyendo robo de credenciales, propagación en la red, recopilación de información sensible, reenvío de puertos, entre otras más.

Este simple cambio en la forma de ocultar la acción maliciosa dentro del archivo de Word, pone en evidencia lo suspicaces que pueden llegar a ser los cibercriminales al momento de ocultar sus acciones maliciosas y tratar de poner en riesgo la información de los usuarios. Estar al tanto de cuales son las técnicas que utilizan siempre van a darnos la ventaja al momento de identificar estas campañas maliciosas.

Fuente: welivesecurity
https://www.welivesecurity.com/la-es/2018/11/16/analisis-ultima-campana-emotet/

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

Somos la primera Empresa en el país en “Soluciones de seguridad utilizando la huella digital”

Puede seguirnos en Twitter. Follow inbiosys on Twitter

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

Anuncios

0 Responses to “Seguridad Informática. Análisis de la última campaña de propagación de Emotet”



  1. Dejar un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s




noviembre 2018
L M X J V S D
« Oct   Dic »
 1234
567891011
12131415161718
19202122232425
2627282930  

Escribe tu dirección de correo electrónico para suscribirte a este blog, y recibir notificaciones de nuevos mensajes por correo.

Únete a otros 61 seguidores

paginas

Categorías

Actualizaciones de Twitter

Anuncios

A %d blogueros les gusta esto: