Investigadores explotan falla de Emotet para detener la propagación del malware

Emotet, es un malware basado en correo electrónico detrás de varias campañas de spam impulsadas por botnets y ataques de ransomware, fue primera vez identificado en 2014, desde entonces ha estado evolucionando de un malware bancario a una “herramienta todo uso” que puede ser utilizado como un descargador, ladron de información, y bot de spam “spambot” dependiendo en la forma en que se implemente.

Recientemente fue revelado que Emotet contenía una falla de seguridad, la cual fue aprovechada por un grupo de investigadores en ciberseguridad para diseñar un interruptor de seguridad, con el fin de evitar que el malware infecte los sistemas durante seis meses.

Según uno de los investigadores, casi siempre las vulnerabilidades y exploits que solemos leer son buenas noticias para los atacantes y malas noticias para el resto de nosotros. Sin embargo, es importante recordar que los malware son software, eso significa que pueden contener fallas también, los defensores en ciberseguridad pueden también aplicar ingeniería inversa al malware para descubrir sus vulnerabilidades, con el fin de explotarlas para derrotar al malware.

El interruptor de seguridad fue diseñado por los investigadores y nombrado como “kill-switch”, estaba activo desde el 6 de febrero del 2020 hasta el 6 de Agosto del 2020, 182 días antes de que los autores de malware parchearan el malware Emotet y eliminaran la vulnerabilidad.

A inicios de febrero, los actores detrás de Emotet agregaron una nueva característica para aprovecharse de dispositivos ya infectados y comprometer a otros dispositivos conectados a la red Wi-Fi en la que están conectados. Según los expertos, esta característica vino con un nuevo mecanismo de persistencia, el cual consistió en generar un archivo nombrado para almacenar el malware en cada sistema comprometido, utilizando una selección aleatoria de un nombre de archivo de sistema “exe” o “dll” desde el directorio system32.

La primera versión de “kill-switch” desarrollada por el grupo de expertos, el cual fue lanzado a las 37 horas después que fue revelada la nueva característica de Emotet, empleando un script en PowerShell que permita generar el valor de la key registrada para cada víctima y establezca cada valor en nulo. De esta manera, cuando el malware verificaba el registro en busca del archivo nombrado, este terminaría cargando un archivo vacío “.exe”, impidiendo que el malware se ejecutara en el sistema objetivo.

En la versión improvisada por los expertos de “kill-switch” llamada “EmoCrash”, uno de los investigadores destacó que él pudo aprovechar una vulnerabilidad de desbordamiento de búfer descubierta en la rutina de instalación del malware, utilizando para bloquear Emotet durante el proceso de instalación y evitar que los usuarios se infecten. Esta versión en lugar de restablecer el valor del registro, el script funciona identificado la arquitectura del sistema para generar el valor del registro de instalación para el número de serie del volumen del usuario, usándolo para guardar un búfer de 832 bytes. Según el investigador este pequeño dato en el buffer fue todo lo que se necesitó para inhabilitar a Emotet.

Para mantener la vulnerabilidad de Emotet en secreto para que los actores malicioso no parchearan su código, los investigadores coordinaron con el equipo de respuesta de emergencia de computadoras (CERTs) y el equipo Cymru para distribuir el script exploit EmoCrash a las organizaciones susceptibles. Logrando que los actores maliciosos detrás de Emotet retiraran el método de instalación basado en key de registro a mediados del mes de Abril, pero no fue hasta el 6 de Agosto cuando Emotet actualizo, eliminando por completo el código de valor de registro que estaba vulnerable.



Fuente:

https://thehackernews.com/2020/08/emotet-botnet-malware.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Cyber+Security+Blog%29

COMENTARIOS

Nombre

Actualización,3,Actualizaciones,4,Adobe,2,Adware,3,AgentTesla,1,android,31,Antivirus,3,Apache,1,APP,1,Apple,16,Apps,13,APT,1,Arkavia Networks,15,asus,1,Ataques,7,Azure,2,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,6,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,3,Ciberataque,4,Cibercrimen,135,Ciberdelincuencia,9,ciberseguridad,141,Cisco,3,Citrix,5,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,1,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,7,CSP,1,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,11,Database,2,Datos,2,DDoS,4,Deep Web,5,dlink,1,DNS,1,Domains,1,DoS,1,Ecommerce,3,elasticsearch,1,Email,2,Emotet,2,Empresas,113,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,2,exploit,7,Exploits,11,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,1,Fintech,1,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,GARMIN,2,Glueball,1,Gmail,3,GoDaddy,1,google,34,GPS,2,GRUB2,1,Hacking,83,Hardware,7,Hosting,3,HTML5,1,HTTP,1,IBM,1,IGMP,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,1,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,LG,1,Linux,9,LSASS,1,Macromedia,1,Malware,45,Malwares,32,Maze,1,Messenger,1,MFA,1,Microsoft,37,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,Nacional,10,NAS,2,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,16,Plugins,1,PoC,2,Protocolos,12,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,18,RAT,2,RCE,2,RDP,3,Recomendaciones,16,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rookit,1,Rootkit,1,Routers,3,RRSS,2,Salt,1,Salud,2,SeguridadTI,1,Servicios,6,Smartphones,29,SMB,5,Software,23,Sophos,1,Spambot,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,TeamViewer,1,Tplink,1,Trickbot,1,Trojan,2,Troyano,3,Update,5,updates,22,USB,1,Videoconferencia,1,VNC,1,VPN,3,Vulnerabilidad,34,Vulnerabilidades,76,Web,8,WhatsApp,5,wifi,5,Windows,19,Wordpress,4,Xerox,1,XG,1,Yahoo,1,zeroday,3,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Investigadores explotan falla de Emotet para detener la propagación del malware
Investigadores explotan falla de Emotet para detener la propagación del malware
https://1.bp.blogspot.com/-72_xc862zWw/XzsCUd-s1PI/AAAAAAAACQM/qgjOGIBcQUgUBkmeuqftP8FrcHl3pLM7QCLcBGAsYHQ/w640-h320/Vulnerability%2BEmotet.jpg
https://1.bp.blogspot.com/-72_xc862zWw/XzsCUd-s1PI/AAAAAAAACQM/qgjOGIBcQUgUBkmeuqftP8FrcHl3pLM7QCLcBGAsYHQ/s72-w640-c-h320/Vulnerability%2BEmotet.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/08/investigadores-explotan-falla-de-emotet.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/08/investigadores-explotan-falla-de-emotet.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy