Emotet es una de las familias de malware más
prolíficas actualmente en distribución. Es responsable de una parte
significativa del spam de malware global. Se sabe que Emotet se incluye junto
con otros tipos de malware, incluidos Zeus Panda (Panda Banker), Trickbot.
Existe información que desde hace una semana la botnet Emotet estaba distribuyendo módulos actualizados
para recoger credenciales de correo electrónico adicionales. Se especulaba que se reanudarían las operaciones esta semana, aquello fue confirmado este lunes 5 de Noviembre.
Los
mensajes de spam de Emotet se distribuyen a través de campañas de spam a gran
escala que contienen enlaces a documentos maliciosos que generalmente se alojan en sitios web legítimos comprometidos y
contienen un script de descarga de PowerShell integrado. El código malicioso de
PowerShell descarga la siguiente etapa del ataque, que es el binario de
malware.
Emotet Actors adopta
archivos PDF para la distribución de malware, en los ataques renovados que se
reanudaron el 5 de noviembre, en algunos casos los actores optaron por usar
documentos PDF, DOC, XLS, DOCX, XLSX, PPTX, PPT maliciosos como el vector de
infección del archivo adjunto.
Si la víctima hace
clic en el enlace en el archivo PDF, se inicia la segunda etapa del ataque. En este caso, la
segunda etapa es un documento de Word con comandos maliciosos incrustados de
PowerShell. El documento malicioso de Word descarga posteriormente la siguiente
etapa de la infección del malware: el binario del malware Emotet.
La botnet de
distribución de troyanos bancarios más importante del mundo ya se encuentra
apuntando a Chile y Latinoamérica con campañas masivas de Phishing y documentos
adjuntos de tipo Microsoft Word y PDF principalmente.
La amenaza: Paso de
ser un troyano bancario a un completo framework de distribución de amenazas, la
variante actual posee módulos de:
·
Banking Trojan
·
Email Info Stealer
·
Browser Info Stealer
·
PST Info Stealer
·
DDoS Attack
·
PowerShell Payload Obfuscator
Además, tiene la
capacidad de auto propagarse una vez que ingresa a la red mediante ataques de
fuerza bruta y es capaz de capturar cuentas de correo SMTP válidas y enviar esa
información a sus SPAMBOT para generar nuevos ataques de ingeniería social.
Recomendaciones
Se recomienda el
bloqueo de los siguientes dóminos a los que se comunica el malware.
·
http://technowood.co.ke
·
http://neogroup.io
·
http://kumkmbandung.com
·
http://biotest.co.id
·
http://blogforprofits.com
·
http://blogforprofits.com
·
http://juegosaleo.com
·
http://borggini.com
·
http://www.zcnet.com
·
http://www.greenamazontoursperu.com
·
http://www.conceptsacademy.co.in
·
http://peconashville.com
·
http://juegosaleo.com
·
http://gaardhaverne.dk
·
http://duwon.net
·
http://crowdgusher.com
·
http://craniofacialhealth.com
·
http://cidadeempreendedora.org.br
·
http://casino338a.city
·
http://brasileirinhabeauty.com.br
Se recomienda el
bloqueo de las siguientes IPs.
·
95.101.13.56
·
2.17.213.199
·
23.61.218.119
·
67.205.13.49
·
103.66.86.36
·
108.179.232.15
·
103.47.192.41
·
187.163.174.149
Se recomienda el
bloqueo de los siguientes Hashes de PDF.
·
0f2ae420a6d9b4ba5240cd43500de3e9
·
3cd0067a01935a693a6d26e974ab8a41
Se recomienda el bloqueo
del siguiente hash de Word.
·
8d8d31fb8bca6e0e12619b37ad697d202e4c13ac