Troyano Emotet lanza una campaña masiva de spam

Después de un período de baja actividad, los actores maliciosos detrás del troyano Emotet lanzaron una nueva campaña de spam a gran escala. La telemetría de ESET muestra que la última actividad se lanzó el pasado 5 de noviembre de 2018. El continente americano es una de las zonas donde se registra mayor actividad.

Una semana después de haber agregado un nuevo módulo capaz de exfiltrar contenido de correo electrónico y luego de un período de baja actividad, los actores maliciosos detrás de Emotet lanzaron una nueva campaña de spam a gran escala.

¿Qué es Emote?

Emotet es una familia de troyanos bancarios conocida por su arquitectura modular, técnica de persistencia y autopropagación similar a la de los gusanos. Se distribuye a través de campañas de spam usando una variedad de disfraces para pasar como adjuntos legítimos y maliciosos. El troyano se usa con frecuencia como descargador o cuentagotas para cargas útiles secundarias potencialmente dañinas. Debido a su alto potencial destructivo, Emotet fue objeto de un comunicado por parte del CERT de Estados Unidos en julio de 2018.

la nueva campaña

Según nuestra telemetría, la última actividad de Emotet se lanzó el 5 de noviembre de 2018 después de un período de baja actividad. La Figura 1 muestra un pico en la tasa de detección de Emotet a principios de noviembre de 2018, como se ve en nuestros datos de telemetría.

Figura 1: descripción general de la detección de Emotet en las últimas dos semanas por los productos de detección de ESET

Analizando estas detecciones por países, tal y como se muestra en la figura 2, esta última campaña de Emotet parece ser más activa en América, Reino Unido, Turquía y Sudáfrica.

Figura 2: Distribución de las detecciones de Emotet por parte de ESET en noviembre de 2018 (incluyendo tanto: archivos como detecciones de red)

En la campaña de noviembre de 2018, Emotet hizo uso de adjuntos maliciosos en Word y PDF que se presentaban como facturas, notificaciones de pago, alertas de cuentas bancarias, etc, y que simulaban ser organizaciones legítimas. De manera alternativa, los correos contenidos enlaces maliciosos en lugar de adjuntos. Los asuntos utilizados en los correos de la campaña sugieren que los blancos de ataque elegidos son usuarios de países en los que se habla inglés y alemán. La figura 3 muestra la actividad de Emotet en noviembre de 2018 desde la perspectiva de la detección de documentos. Las figuras 4, 5 y 6 son ejemplos de correos y archivos adjuntos de esta campaña.

Figura 3 – Distribución de detecciones realizadas por ESET de documentos relacionados con Emotet en noviembre de 2018

Figura 4: ejemplo de correo no deseado utilizado en la última campaña de Emotet

Figura 5 – Ejemplo de documento Word utilizado maliciosamente en la última campaña de Emotet

Figura 6: ejemplo de un PDF malicioso utilizado en la última campaña de Emotet

En esta campaña de noviembre de 2018, la dinámica de compromiso comienza cuando la víctima abre un Word o PDF malicioso que viene como archivo adjunto a un correo no deseado que parece ser de una organización legítima y conocida.

Siguiendo las instrucciones del documento, la víctima habilita las macros en Word o hace clic en el enlace dentro del PDF. Luego, la carga útil de Emotet se instala y ejecuta, establece la persistencia en la computadora e informa que el compromiso se implementó con éxito en su servidor C&C. Inmediatamente después, reciba instrucciones acerca de qué módulos de ataque y payloads secundarios descargar.

Los módulos amplían las funcionalidades de los payloads iniciales con las siguientes capacidades: robo de credenciales, propagación en la red, recopilación de información sensible, reenvío de puertos, entre otras más. En el caso de los payload secundarios, esta campaña ha visto a Emotet dejar TrickBot e IcedId en máquinas comprometidas.

Conclusión

Este pico reciente en la actividad de Emotet simplemente muestra que esta familia de troyanos continúa siendo una amenaza activa, y lo que genera una preocupación creciente debido a la reciente actualización de sus módulos. Los sistemas de ESET detectan y bloquean todos los componentes de Emotet bajo los nombres de detección detallados en la sección de IoC.

Indicadores de compromiso (IoC)

haches de ejemplo

Nótese que las nuevas construcciones de los binarios de Emotet son lanzados aproximadamente cada dos horas, con lo cual los hashes pueden que no sean los últimos disponibles.

Emotete

SHA-1 Nombre de detección de ESET
51AAA2F3D967E80F4C0D8A86D39BF16FED626AEF Troyano Win32/Kryptik.GMLY
EA51627AF1F08D231D7939DC4BA0963ED4C6025F Troyano Win32/Kryptik.GMLY
3438C75C989E83F23AFE6B19EF7BEF0F46A007CF Troyano Win32/Kryptik.GJXG
00D5682C1A67DA31929E80F57CA26660FDEEF0AF Troyano Win32/Kryptik.GMLC

Módulos

SHA-1 Nombre de detección de ESET
0E853B468E6CE173839C76796F140FB42555F46B Troyano Win32/Kryptik.GMFS
191DD70BBFF84D600142BA32C511D5B76BF7E351 Troyano Win32/Emotet.AW
BACF1A0AD9EA9843105052A87BFA03E0548D2CDD Troyano Win32/Kryptik.GMFS
A560E7FF75DC25C853BB6BB286D8353FE575E8ED Troyano Win32/Kryptik.GMFS
12150DEE07E7401E0707ABC13DB0E74914699AB4 Troyano Win32/Kryptik.GMFS
E711010E087885001B6755FF5E4DF1E4B9B46508 Troyano Win32/Agent.TFO

cargas útiles secundarias

TrickBot

SHA-1 Nombre de detección de ESET
B84BDB8F039B0AD9AE07E1632F72A6A5E86F37A1 Troyano Win32/Kryptik.GMKM
9E111A643BACA9E2D654EEF9868D1F5A3F9AF767 Troyano Win32/Kryptik.GMKM

IcedId

SHA-1 Nombre de detección de ESET
0618F522A7F4FE9E7FADCD4FBBECF36E045E22E3 Troyano Win32/Kryptik.GMLM

Servidores C&C (activos al 9 de noviembre de 2018)

187.163.174[.]149:8080
70.60.50[.]60:8080
207.255.59[.]231:443
50.21.147[.]8:8090
118.69.186[.]155:8080
216.176.21[.]143:80
5.32.65[.]50:8080
96.246.206[.]16:80
187.163.49[.]123:8090
187.207.72[.]201:443
210.2.86[.]72:8080
37.120.175[.]15:80
77.44.98[.]67:8080
49.212.135[.]76:443
216.251.1[.]1:80
189.130.50[.]85:80
159.65.76[.]245:443
192.155.90[.]90:7080
210.2.86[.]94:8080
198.199.185[.]25:443
23.254.203[.]51:8080
67.237.41[.]34:8443
148.69.94[.]166:50000
107.10.139[.]119:443
186.15.60[.]167:443
133.242.208[.]183:8080
181.229.155[.]11:80
69.198.17[.]20:8080
5.9.128[.]163:8080
104.5.49[.]54:8443
139.59.242[.]76:8080
181.27.126[.]228:990
165.227.213[.]173:8080

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!