Análisis de la última campaña de propagación de Emotet

Un análisis sobre el funcionamiento de esta nueva campaña de Emotet que afecta a varios países de América Latina y que utiliza archivos de Microsoft Office para ocultar su acción maliciosa.

A principios de esta semana, alertamos sobre una nueva campaña masiva de spam que aprocheba para propagar Emotet. Dado que hubo gran incidencia en algunos países de América Latina y que recibimos varias consultas en los últimos días, decidimos publicar una breve explicación de como funcionaba esta campaña de propagación.

Aunque en los últimos años hemos visto cómo los ciberdelincuentes se han aprovechado de la suite ofimática de Microsoft para propagar sus amenazas, desde simples macros incrustadas en archivos hasta la explotación de vulnerabilidades, en esta oportunidad nos encontramos con una implementación por lo menos curiosa de un downloader. dentro de un archivo de Office, que causó confusión entre muchos usuarios que nos preguntaron sobre cómo estaba funcionando esta menaza.

La propagación comenzó con un correo electrónico, que en realidad no tenía ninguna característica particular. De hecho es bastante similar a lo que conocemos de este tipo de campañas.

Correo con un documento Word en adjunto que simula ser una factura.

Solicitud para habilitar las macros en el documento.

Una de las muestras adjuntas en estos correos, cuando el usuario decidió aceptar la descarga y abría el documento, como era de esperarse tiene se le requesta habilitar las macros para que se ejecute una función embedida en el archivo, con la excusa de que debe habilitar el documento.

Claramente este comportamiento ya es conocido como malicioso. Pero la artimaña que en esta campaña estaban utilizando los cibercriminales tienen ciertas características particulares. Al momento de querer ver la macro, no es muy extensa ya simple vista pareciera que no se trata de las ya conocidas macros que tratan de conectar a un sitio web para descargar una muestra, ¿o si?

Un vistazo a la macro, llama la atención que lo que hace esta función es leer un TextBox. Pero, ¿dónde está el cuadro de texto? Después de buscarlo, resulta que hay un objeto imperceptible en la parte superior izquierda de la hoja, que si lo ampliamos llegamos a ver lo que contiene.

Efectivamente, este TextBox contiene un comando cmd, que ejecuta un script en PowerShell para intentar conectarse a 5 sitios y finalmente descargar el payload, que en este caso corresponde a una variante ofuscada de Emotet.

Tal como mencionábamos en publicaciones anteriores, una vez que se ejecuta el payload, establece persistencia en la computadora, y reporta que el compromiso se realizó de manera exitosa a su servidor C&C. A partir de esta infección inicial se pueden descargar módulos de ataque y payloads secundarios que realicen otro tipo de acciones sobre la computadora comprometida.

Los diferentes módulos adicionales extienden las capacidades maliciosas que pueden llegar a comprometer el dispositivo del usuario, incluyendo robo de credenciales, propagación en la red, recopilación de información sensible, reenvío de puertos, entre otras más.

Se trata de un simple cambio en la forma de ocultar la acción maliciosa dentro del archivo de Word, aunque no es una técnica nueva, muestra las sospechas que pueden tener los ciberdelincuentes a la hora de ocultar sus acciones maliciosas para tratar de poner en riesgo la información de los usuarios. Estar al tanto de cuáles son las técnicas que utilizarán siempre van a darnos la ventaja al momento de identificar estas campañas maliciosas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!