Cabecera-v2-web.jpg

Aviso de nueva actividad del malware Emotet


21/04/2022

Se ha detectado nueva variante de Emotet que utiliza módulos de 64 bits, que permitiría a un atacante robar datos de usuario, realizar reconocimientos de red, moverse lateralmente o dejar caer payloads adicionales como Cobalt Strike y ransomware en particular.

Emotet es un troyano modular autopropagante que puede mantener la persistencia en el host. Es factible que pronto cambie a nuevas payloads, que actualmente son detectadas por menos motores de antivirus.

Según un informe publicado, la actividad de Emotet está experimentando un fuerte aumento de febrero a marzo, el cual menciona que las campañas de distribución de correo electrónico de Emotet también emplean trucos de secuestro de hilos de discusión, vistos en campañas de Qbot.

El objetivo del correo electrónico de Emotet es convencer a los usuarios de:

  • Seguir el enlace, descargar un documento archivado y abrirlo (a veces utilizando una contraseña mencionada en el correo electrónico), o
  • Abrir un archivo adjunto de correo electrónico.

Imitar la correspondencia laboral es un truco común empleado por los atacantes, sin embargo, esta campaña es más compleja, ya que los atacantes interceptan una conversación existente y se insertan en ella, lo que hace que dichos mensajes sean más difíciles de detectar.

Debido a que los atacantes tienen acceso a la correspondencia anterior, es conveniente para ellos presentar el archivo adjunto como algo que el destinatario esperaría como una continuación de una conversación con sus colegas.

Para hacer frente a esta amenaza se recomienda realizar campañas de concientización y aplicar las siguientes buenas prácticas:

  • No abrir correos de usuarios desconocidos o que no se haya solicitado.
  • No responder en ningún caso correos de usuarios desconocidos.
  • Revisar los enlaces antes hacer clic, aunque sean de contactos conocidos.
  • Desconfiar de los enlaces acortados.
  • Desconfiar de los ficheros adjuntos, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
  • Asegurarse que las cuentas de usuario de los empleados utilizan contraseñas robustas y no posean permisos de administrador.

Nota: En la actividad de la botnet de Emotet los operadores de malware también han cambiado a cargadores de 64 bits y módulos de robo en Epoch 4, uno de los subgrupos de la botnet que se ejecutan en una infraestructura separada. Anteriormente, se basaba en código de 32 bits.

Detección:

El CERT de Japón ha lanzado una nueva versión de EmoCheck, herramienta utilizada para escanear una computadora en busca de infecciones de Emotet. Para la detección del malware siga los siguientes pasos:

  • Descargar la herramienta EmoCheck del repositorio GitHub de Japan CERT.
  • Una vez descargado, haga doble clic en emocheck_x64.exe (versión de 64 bits) o emocheck_x86.exe (versión de 32 bits), según la versión descargada. EmoCheck buscará el troyano Emotet y si se detecta el malware, mostrará el ID del proceso bajo el que se está ejecutando y la ubicación de la DLL del malware.

EmoCheck detectando la infección de malware Emotet

  • EmoCheck también creará un registro en la misma carpeta que el programa que contiene la información detectada, permitiéndole consultarla según sea necesario.
  • Si ejecuta EmoCheck y descubre que está infectado, debe abrir inmediatamente el Administrador de tareas y finalizar el proceso enumerado, (generalmente regsvr32.exe).


Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11