Archivo mensual febrero 2021

Pormalwarebytes

Clop apunta a ejecutivos, las tácticas de ransomware dan otro giro

Clop apunta a ejecutivos, las tácticas de ransomware dan otro giro

Clop apunta a ejecutivos, las tácticas de ransomware dan otro giro

Al corriente: por 

Los vendedores ambulantes de ransomware han dado otro giro tortuoso a la reciente tendencia a la exfiltración de datos. Después de entrevistar a varias víctimas del ransomware Clop, ZDNet descubrió que sus operadores parecen apuntar sistemáticamente a las estaciones de trabajo de los ejecutivos . Después de todo, es más probable que los altos directivos tengan información confidencial en sus máquinas.

Si esta táctica funciona, y podría funcionar, es probable que otras familias de ransomware sigan su ejemplo, tal como han copiado otras tácticas exitosas en el pasado.

¿Qué es el ransomware Clop?

Clop se vio por primera vez en febrero de 2019 como una nueva variante en la familia Cryptomix , pero ha seguido su propio camino de desarrollo desde entonces. En octubre de 2020 se convirtió en el primer ransomware en exigir un rescate de más de 20 millones de dólares. La víctima, la empresa de tecnología alemana Software AG , se negó a pagar. En respuesta, los operadores de Clop publicaron información confidencial que habían recopilado durante el ataque, en un sitio web de la web oscura.

Sitio de filtración de la Dark Web de Clop

Tácticas de imitador

Cuando nos encontramos por primera vez con ransomware de cifrado de archivos, nos quedamos asombrados y horrorizados al mismo tiempo. La simplicidad de la idea, a pesar de que se requirió un poco de habilidad para perfeccionar una rutina de cifrado sólida, fue de un tipo que se reconoce de inmediato como algo duradero.

Desde entonces, el ransomware se ha desarrollado de formas que hemos visto antes en otros tipos de malware, pero también ha introducido algunas técnicas completamente nuevas. La orientación de Clop a los ejecutivos es solo la última en la lista de innovaciones que hemos presenciado en los últimos años.

Echemos un vistazo rápido a algunas de estas innovaciones que van desde trucos técnicos hasta ingeniería social avanzada.

Ataques dirigidos

La mayoría de las familias exitosas de ransomware se han alejado de las tácticas de rociar y orar a ataques más dirigidos. En lugar de intentar cifrar muchos equipos individuales mediante campañas de correo electrónico maliciosas, los atacantes ingresan manualmente a las redes corporativas e intentan paralizar organizaciones enteras.

Un atacante generalmente accede a la red de una víctima utilizando vulnerabilidades conocidas o intentando forzar una contraseña en un puerto RDP abierto . Una vez que hayan ingresado, probablemente intentarán escalar sus privilegios, mapear la red, eliminar copias de seguridad y difundir su ransomware a tantas máquinas como sea posible.

Exfiltración de datos

Una de las adiciones más recientes al arsenal de ransomware es la exfiltración de datos. Durante el proceso de infiltrarse en la red de una víctima y cifrar sus computadoras, algunas bandas de ransomware también exfiltran datos de las máquinas que infectan. Luego amenazan con publicar los datos en un sitio web o subastarlos. Esto les da a los delincuentes una ventaja adicional contra las víctimas que no pagarán, o no necesitarán, para descifrar sus datos.

Este giro adicional fue introducido por Ransom.Maze, pero también lo utilizan Egregor y Ransom.Clop, como mencionamos anteriormente.

Esconderse dentro de máquinas virtuales

Te advertí sobre las innovaciones técnicas. Este se destaca entre ellos. Como se menciona en nuestro Informe sobre el estado del malware de 2021 , la banda de ransomware RagnarLocker encontró una nueva forma de cifrar archivos en un punto final mientras evitaba la protección anti-ransomware.

Los operadores del ransomware descargan una imagen de máquina virtual (VM), la cargan silenciosamente y luego lanzan el ransomware dentro, donde el software de protección de endpoints no puede verlo. El ransomware accede a los archivos del sistema host a través de las «carpetas compartidas» de la máquina invitada.

Cifrado de discos duros virtuales

También se menciona en el informe State of Malware 2021 el ransomware RegretLocker que encontró una forma de encriptar discos duros virtuales (VHD). Estos archivos son archivos enormes que contienen el disco duro de una máquina virtual. Si un atacante quisiera encriptar el VHD, soportaría un proceso dolorosamente lento (y cada segundo cuenta cuando intentas que no te atrapen) debido al tamaño de estos archivos.

RegretLocker utiliza un truco para «montar» los discos duros virtuales, de modo que sean tan fácilmente accesibles como un disco duro físico. Una vez hecho esto, el ransomware puede acceder a los archivos dentro del VHD y cifrarlos individualmente, robarlos o eliminarlos. Este es un método de cifrado más rápido que intentar apuntar a todo el archivo VHD.

Frustrar la seguridad y la detección

El ransomware también está mejorando para evitar la detección y deshabilitar el software de seguridad existente. Por ejemplo, el ransomware Clop detiene 663 procesos de Windows (que es una cantidad asombrosa) e intenta deshabilitar o desinstalar varios programas de seguridad, antes de iniciar su rutina de cifrado.

Detener estos procesos libera algunos archivos que de otro modo no podría cifrar, porque estarían bloqueados. También reduce la probabilidad de activar una alerta y puede dificultar la producción de nuevas copias de seguridad.

¿Qué sigue?

Queda por ver si la nueva táctica de Clop será copiada por otras familias de ransomware o cómo podría evolucionar.

Se ha especulado que la táctica de amenazar con filtrar datos extraídos ha reducido las expectativas de algunas víctimas de que pagar el rescate será el fin de sus problemas. Dirigirse específicamente a los datos de los ejecutivos puede ser una forma de corregir esto, aumentando la presión sobre las víctimas.

Clop, o un imitador, también puede intentar usar la información que se encuentra en las máquinas de los gerentes para difundirla a otras organizaciones. Considere, por ejemplo, el método conocido como secuestro de hilos de conversaciones de correo electrónico, que utiliza las conversaciones de correo electrónico existentes (y, por lo tanto, las relaciones de confianza) para propagarse a nuevas víctimas. O la información podría venderse a los actores de amenazas que se especializan en el compromiso del correo electrónico empresarial (BEC) .

Para aquellos interesados, los IOC y otros detalles técnicos sobre Clop se pueden encontrar en el perfil de detección de Ransom.Clop .

Pormalwarebytes

Extorsión, malware de precisión y estafas despiadadas. Lea el informe Estado del Malware 2021

Extorsión, malware de precisión y estafas despiadadas. Lea el informe State of Malware 2021

Extorsión, malware de precisión y estafas despiadadas. Lea el informe State of Malware 2021

Al corriente: por 

El año pasado, los actores de amenazas se aprovecharon de la crisis de salud pública de COVID-19 de una manera que antes se consideraba inimaginable, no solo aprovechando la incertidumbre y el miedo durante los meses iniciales de la pandemia global, sino también modificando los métodos de ataque, incumpliendo las promesas, fortaleciendo el malware, y extorsionar a las víctimas por una suma de $ 100 millones, y eso sin la amenaza del cifrado de ransomware.

En resumen, en 2020 evolucionaron las ciberamenazas.

Hoy, mostramos a los lectores cómo era esa evolución, en nuestro informe State of Malware 2021 . Este informe proporciona nuestro análisis más completo de las tendencias de malware del año pasado, con desgloses por categoría de malware, tipo de malware, sistema operativo, región, industria y más.

Estas son las conclusiones clave de lo que aprendimos en 2020:

  • Las detecciones de malware en las computadoras comerciales con Windows disminuyeron en un 24% en general, pero las detecciones de HackTools y Spyware en Windows aumentaron drásticamente, en un 147% y un 24%, respectivamente.
  • Entre las cinco principales amenazas para las empresas y los consumidores se encuentran el cracker de software de Microsoft Office KMS, el malware bancario Dridex y BitCoinMiners; las detecciones de negocios para KMS y Dridex aumentaron en un 2,251% y un 973%, respectivamente
  • Las detecciones de las amenazas comerciales más notorias, Emotet y Trickbot, cayeron este año en un 89% y 68% respectivamente, aunque los operadores detrás de estas amenazas aún realizaron varios grandes ataques en 2020.
  • Un nuevo ransomware llamado Egregor entró en escena a finales de 2020, desplegado en ataques contra Ubisoft, K-Mart, Crytek y Barnes & Noble.
  • En general, las detecciones de Mac disminuyeron un 38%, aunque las detecciones de Mac para empresas aumentaron un 31%
  • El malware representó solo el 1,5% de todas las detecciones de Mac en 2020; el resto se puede atribuir a programas potencialmente no deseados (PUP) y adware
  • ThiefQuest engañó a muchos investigadores haciéndoles creer que era el primer ejemplo de ransomware en macOS desde 2017, pero el malware ocultaba su actividad real de exfiltración masiva de datos. Representó más de 20.000 detecciones en 2020
  • En Android, HiddenAds, que envía anuncios a los usuarios de forma agresiva, acumuló 704.418 detecciones, un aumento de casi el 149%.
  • Descubrimos dos veces malware preinstalado en teléfonos proporcionados por Assurance Wireless a través del programa Lifeline Assistance, financiado por el gobierno de EE. UU.
  • Las detecciones de aplicaciones de tipo Stalkerware, que incluyen detecciones de aplicaciones Monitor y aplicaciones Spyware en Android, aumentaron junto con las órdenes de refugio en el lugar que los gobiernos comenzaron a implementar en febrero y marzo: las detecciones de aplicaciones Monitor aumentaron de enero a diciembre en un 565%; Las detecciones de aplicaciones de software espía aumentaron durante el mismo período de tiempo en un 1.055%
  • La industria agrícola sufrió un aumento del 607% en las detecciones de malware, mientras que las detecciones en la industria de alimentos y bebidas aumentaron en un 67%.
  • Los objetivos más tradicionales, como manufactura, atención médica y médica, y automotriz, experimentaron caídas en las detecciones en diversos grados: la educación cayó un 17%, la atención médica cayó un 22% y la industria automotriz disminuyó un 18%

Como puede ver en estos hallazgos, 2020 resultó ser un año tumultuoso.

Cuando los casos de COVID-19 comenzaron a aumentar en varios países, los ciberdelincuentes se aprovecharon de los temores de las personas sin piedad, con una avalancha de correos electrónicos de phishing y estafas de coronavirus.

En todo el mundo, los gobiernos intentaron evitar que sus hospitales se vean abrumados ordenando cierres, órdenes de permanencia en el lugar y cierres de escuelas. Para abril de 2020, se había pedido u ordenado a la mitad de la población mundial que se quedara en casa. A medida que empresas enteras cambiaron al trabajo remoto, los equipos de TI se encontraron tratando de convertir proyectos de meses de duración en días, con la seguridad como una víctima desafortunada pero comprensible.

Ante un nuevo panorama, los ciberdelincuentes abandonaron algunas tácticas antiguas y pusieron un nuevo énfasis en la recopilación de inteligencia. Y a medida que la gente se adaptaba a su «nueva normalidad», los estafadores explotaron su aislamiento con un resurgimiento de las estafas de soporte técnico. También surgieron nuevos adversarios de la madera. El cierre global de abril estuvo acompañado por un aumento asombroso en el uso de stalkerware, un término abreviado para el tipo de aplicaciones de monitoreo móvil y software espía que a veces implementan socios abusivos.

La pandemia también creó nuevos desafíos para la privacidad en línea. A medida que los países recurrieron al rastreo de contactos digital para contener los brotes, surgió una dura dicotomía: es posible que las personas tengan privacidad personal o rastreo de contactos efectivo, pero probablemente no ambos. En todo el mundo, el avance de la legislación que preserva la privacidad se ralentizó.

Y lo que comenzó como una crisis de salud mundial pronto se convirtió también en una crisis económica mundial, y casi ningún negocio salió ileso. El destino de diferentes sectores industriales se reflejó en la cantidad de ciberataques que sufrieron. A medida que los sectores manufacturero y automotriz se contrajeron, los atacantes simplemente volvieron sus rostros hacia la agricultura y otras industrias esenciales. Las bandas de ransomware incumplieron sus promesas iniciales de mantenerse alejadas de los hospitales y, en cambio, alcanzaron nuevos mínimos, atacando hospitales e instalaciones médicas en campañas organizadas.

A pesar de todo, hay una forma de negocio que parece haber prosperado en 2020: la creación y operación de software malicioso. El ritmo de la innovación se aceleró en 2020 a medida que surgieron muchas familias de malware completamente nuevas. Las bandas de ransomware también continuaron aprendiendo unas de otras, y las tácticas exitosas se extendieron rápidamente entre ellas. Quizás la nueva táctica más importante que surgió fue la “doble extorsión”, en la que los grupos de ciberdelincuentes extorsionaban más dinero con amenazas de filtrar datos confidenciales que descifrando computadoras comprometidas.

Si 2020 nos enseñó algo, es que el ciberdelito se detiene para nada. No hay objetivos ni oportunidades de explotación que estén más allá de los límites.

Afortunadamente, el año también tuvo otra lección para nosotros: que hay héroes en todas partes. Los profesionales de la salud, los maestros y otros trabajadores esenciales merecen con razón el mayor reconocimiento, pero surgieron héroes en todas las áreas de la vida. Por lo tanto, queremos agradecer enormemente al ejército anónimo de administradores de sistemas y profesionales de la seguridad que trasladaron montañas en 2020 para mantener a millones de personas seguras en línea mientras el mundo que los rodeaba se volvía de cabeza.

Pormalwarebytes

Dispositivos Android atrapados en la botnet Matryosh

Dispositivos Android atrapados en la botnet Matryosh

Dispositivos Android atrapados en la botnet Matryosh

Al corriente: por 

Los investigadores de Netlab han descubierto una nueva botnet que reutiliza el marco Mirai para atraer dispositivos Android vulnerables a ataques DDoS .

La nueva botnet, que se llama Matryosh, lleva el nombre de las muñecas de anidación rusas porque el algoritmo de cifrado que utiliza y el proceso de obtención de comando y control (C2) están anidados en capas. La botnet admite ataques DDoS mediante ataques tcpraw, icmpecho y udpplain.

¿Cómo se propaga Matryosh?

Como otras botnets anteriores, Matryosh se propaga a través de Android Debug Bridge (ADB) , una interfaz de diagnóstico y depuración que usa el puerto 5555. Si bien ADB tiene un uso genuino para los desarrolladores, un ADB orientado a Internet también abre el camino para ataques remotos.

Desafortunadamente, algunos proveedores están enviando dispositivos Android con el puerto 5555 abierto. Esto permite a los desarrolladores comunicarse con dispositivos de forma remota para controlar un dispositivo y ejecutar comandos, que generalmente se utilizan con fines de diagnóstico y depuración. Pero también crea una puerta trasera para cualquier otro atacante que se conecte a este puerto.

Puente de depuración de Android

ADB es una herramienta de línea de comandos versátil que le permite comunicarse con un dispositivo Android y facilita una variedad de acciones del dispositivo, como instalar y depurar aplicaciones. También proporciona acceso a un shell que puede usar para ejecutar una variedad de comandos en un dispositivo.

Aunque Android se conoce comúnmente como un sistema operativo popular para teléfonos, también se usa como sistema operativo para cualquier cantidad de «Cosas» conectadas a Internet, como bicicletas estáticas y televisores.

Para completar el desastre potencial, ADB no requiere autenticación, lo que significa que cualquiera puede conectarse a un dispositivo que ejecute ADB para ejecutar comandos. En resumen, con ADB habilitado, cualquiera puede conectarse de forma remota al dispositivo como root.

¿Cómo funciona Matryosh?

Matryosh es especial porque utiliza la red Tor cifrada para enmascarar su tráfico malicioso. Cuando Matryosh se ejecuta en un dispositivo infectado, descifra un nombre de host remoto y utiliza solicitudes TXT de DNS para obtener el servidor Tor C2 y los detalles del proxy. Después de eso, Matryosh usa esos detalles para establecer una conexión con el servidor C2, a través del proxy Tor, para obtener sus comandos.

Para realizar los ataques DDoS, la botnet admite ataques tcpraw, icmpecho y udpplain. Esto significa que puede lanzar ataques DDoS a través de protocolos como TCP, ICMP y UDP.

Cómo deshabilitar ADB

Aunque ADB está desactivado de forma predeterminada en la mayoría de los teléfonos inteligentes y tabletas Android, algunos proveedores envían sus dispositivos con ADB habilitado.

  • Usuarios de Android: es difícil proporcionar instrucciones claras que funcionen para todos los dispositivos, pero en general, debe deshabilitar las «Opciones de desarrollador» del dispositivo. En el cliente Malwarebytes para Android hay una función de auditoría de seguridad que indica si el modo Desarrollador está habilitado, dónde se encuentra ADB, pero no señala específicamente que ADB está encendido o apagado. Si el modo de desarrollador está habilitado, la auditoría lo señalará y un usuario puede acceder al modo de desarrollador tocando el modo de desarrollo en los resultados de la auditoría, que se mostrarán en amarillo. Cuando el modo de desarrollador está desactivado, ADB también debería estar desactivado.
Auditoría de seguridad de Malwarebytes para Android
  • Las empresas deben escanear sus redes internas y externas para el puerto 5555 para ver si algún dispositivo está escuchando en ese puerto, lo que podría ser una indicación de que los dispositivos están abiertos para recibir comandos ADB. Tampoco estaría de más leer nuestra entrada de blog. Los ataques DDoS están creciendo: ¿Qué pueden hacer las empresas?
  • Los proveedores deben dejar de enviar productos con Android Debug Bridge habilitado a través de una red, especialmente aquellos dispositivos que están diseñados para conectarse a Internet
Pormalwarebytes

Limpieza después de Emotet: el expediente de la aplicación de la ley

Limpieza después de Emotet: el expediente de la aplicación de la ley

Limpieza después de Emotet: el expediente de la aplicación de la ley

Al corriente: por 
Última actualización:

Esta publicación de blog fue escrita por Hasherezade y Jérôme Segura

Emotet ha sido el malware más buscado durante varios años. La gran botnet es responsable de enviar millones de correos electrónicos no deseados con archivos adjuntos maliciosos. El troyano bancario que una vez se convirtió en cargador fue responsable de costosos compromisos debido a su relación con bandas de ransomware.

El 27 de enero, Europol anunció una operación global para acabar con la botnet detrás de lo que llamó el malware más peligroso al obtener el control de su infraestructura y eliminarlo desde adentro.

Poco después, los controladores Emotet comenzaron a entregar una carga útil especial que tenía un código para eliminar el malware de las computadoras infectadas. Esto aún no se había aclarado formalmente y algunos detalles al respecto no estaban del todo claros. En este blog revisaremos esta actualización y cómo debe funcionar.

Descubrimiento

Poco después de la eliminación de Emotet, un investigador observó una nueva carga útil enviada a las máquinas infectadas con un código para eliminar el malware en una fecha específica.

Ese bot actualizado contenía una rutina de limpieza responsable de desinstalar Emotet después de la fecha límite del 25 de abril de 2021 . El informe original mencionaba el 25 de marzo, pero como los meses se cuentan desde 0 y no desde 1, el tercer mes es en realidad abril.

Esta actualización especial fue confirmada posteriormente en un comunicado de prensa del Departamento de Justicia de EE. UU. En su declaración jurada .

El 26 de enero de 2021 o alrededor de esa fecha, aprovechando su acceso a los servidores de Nivel 2 y Nivel 3, los agentes de un socio de cumplimiento de la ley extranjero de confianza, con quien el FBI está colaborando, reemplazaron el malware Emotet en servidores ubicados físicamente en su jurisdicción con un archivo creado por cumplimiento de la ley

BleepingComputer menciona que el socio extranjero encargado de hacer cumplir la ley es la Policía Criminal Federal de Alemania (Bundeskriminalamt o BKA).

Además de la rutina de limpieza, que describimos en la siguiente sección, este «archivo de aplicación de la ley» contiene una ruta de ejecución alternativa que se sigue si la misma muestra se ejecuta antes de la fecha indicada.

El desinstalador

La carga útil es una DLL de 32 bits. Tiene un nombre que se explica por sí mismo (EmotetLoader.dll) y 3 exportaciones que conducen a la misma función.

Si miramos dentro de esta función exportada, podemos ver 3 subrutinas:

El primero se encarga de la limpieza antes mencionada. En el interior, podemos encontrar el control de fecha:

Si la fecha límite ya pasó, la rutina de desinstalación se llama inmediatamente. De lo contrario, el hilo se ejecuta repetidamente haciendo la misma verificación de tiempo y, finalmente, llamando al código de eliminación si la fecha ha pasado.

La hora actual se compara con la fecha límite en un bucle. El ciclo sale solo si se supera la fecha límite y luego continúa con la rutina de desinstalación.

La rutina de desinstalación en sí es muy simple. Elimina el servicio asociado con Emotet, elimina la clave de ejecución, intenta (pero falla) mover el archivo a% temp% y luego sale del proceso.

Dentro de la función: «uninstall_emotet»

Como sabemos al observar el Emotet regular, logra la persistencia de dos formas alternativas.

Ejecutar clave

Microsoft \ CurrentVersion \ Run

Este tipo de instalación no requiere elevación. En tal caso, la DLL de Emotet se copia en %APPDATA%\[random dir name]\[random DLL name].[random extention].

Servicio del sistema

HKLM \ System \ CurrentControlSet \ Service \ <nombre aleatorio de emotet>

Si la muestra se ejecutó con privilegios de administrador, se instala como un servicio del sistema. Se copia la DLL original en C:\Windows\SysWow64\[random dir name]\[random DLL name].[random extention].

Por esta razón, la función de limpieza debe tener en cuenta ambos escenarios.

Notamos que los desarrolladores cometieron un error en el código que se supone debe mover el archivo de aplicación de la ley al directorio% temp%:

GetTempFileNameW (Buffer, L "UPD", 0, TempFileName) 

El «0» debería haber sido un «1» porque según la documentación , si uUnique no es cero, debe crear el archivo usted mismo. Solo se crea un nombre de archivo, porque GetTempFileName no puede garantizar que el nombre de archivo sea único .

La intención era generar una ruta temporal, pero debido a que se usó un valor incorrecto en el parámetro uUnique, no solo se generó la ruta, sino que también se creó el archivo. Eso llevó a una mayor colisión de nombres y, como resultado, el archivo no se movió.

Sin embargo, esto no cambia el hecho de que el malware ha sido neutralizado y es inofensivo, ya que no se ejecutará ya que se eliminaron sus mecanismos de persistencia.

Si la rutina de eliminación antes mencionada se llamó inmediatamente, las otras dos funciones de la exportación inicial no se están ejecutando (el proceso termina al final de la rutina, llamando ExitProcess). Pero esto ocurre solo si la muestra se ha realizado después del 25 de abril.

La ruta de ejecución alternativa

Ahora echemos un vistazo a lo que sucede en el escenario alternativo cuando no se llama inmediatamente a la rutina de desinstalación.

Una vez que se ejecuta el hilo en espera, la ejecución llega a otras dos funciones. El primero enumera los procesos en ejecución y busca el proceso padre del actual.

Luego verifica el nombre del proceso si es «explorer.exe» o «services.exe», seguido de los parámetros de lectura que se le dan al padre.

Ejecutando la siguiente etapa

La siguiente rutina descifra y carga una carga útil de segunda etapa desde el búfer codificado.

El búfer codificado se descifra con el bucle anterior y luego se ejecuta

Redirección del flujo al búfer descifrado (a través de » call edi«):

Se revela el siguiente PE: X.dll :

Después de descifrar la carga útil, la ejecución se redirige al comienzo del búfer revelado que comienza con un salto:

Este salto conduce a una rutina de cargador reflectante. Después de asignar la DLL a un formato virtual, en el área recién asignada en la memoria, el cargador redirige la ejecución allí.

Primero, DllMainse llama al de X.dll (se usa solo para la inicialización). Luego, la ejecución se redirige a una de las funciones exportadas, en el caso actualmente analizado Control_RunDll.

La ejecución continúa con el segundo dll (X.dll). Las funciones dentro de este módulo están ofuscadas.

La carga útil que se llama ahora es muy similar a la carga útil normal de Emotet. Analógico DLL, y también nombrado X.dll tales como: esta uno se pudo encontrar en muestras Emotet anteriores (sin la rutina de limpieza), por ejemplo en esta muestra .

La carga útil de la segunda etapa: X.dll

La carga útil de la segunda etapa X.dll es una DLL de Emotet típica, cargada en caso de que la fecha límite codificada no haya pasado todavía.

Esta DLL está muy ofuscada y todas las API utilizadas se cargan dinámicamente. Además, sus parámetros no son legibles: se calculan dinámicamente antes de su uso, a veces con la ayuda de una larga cadena de operaciones que involucran muchas variables:

Este tipo de ofuscación es típico de las cargas útiles de Emotet y está diseñado para confundir a los investigadores. Sin embargo, gracias al rastreo pudimos reconstruir qué API se llaman con qué compensaciones.

La carga útil tiene dos rutas alternativas de ejecución. Primero verifica si ya estaba instalado. De lo contrario, sigue la primera ruta de ejecución y procede a instalarse. Genera un nombre de instalación aleatorio y se mueve a sí mismo bajo este nombre a un directorio específico, al mismo tiempo que agrega persistencia. Luego, vuelve a ejecutarse desde la nueva ubicación.

Si la carga útil detecta que se ejecutó desde la ruta de destino, toma una ruta de ejecución alternativa . Se conecta al C2 y se comunica con él.

La muestra actual envía una solicitud a uno de los servidores sumideros. Contenido:

L "DNT: 0 \ r \ nReferer: 80.158.3.161/i8funy5rv04bwu1a/\r\nContent-Type: multipart / form-data; límite = ------------------- -GgmgQLhRJIOZRUuEhSKo \ r \ n "

La siguiente imagen muestra el tráfico web de un sistema infectado a través de un documento malicioso que descarga el archivo de actualización especial y vuelve al servidor de comando y control propiedad de la policía:

Motivos detrás del desinstalador

La versión con el desinstalador ahora se envía a través de canales destinados a distribuir el Emotet original. Aunque actualmente la rutina de eliminación aún no se llamará, la infraestructura detrás de Emotet ya está controlada por la policía, por lo que los bots no pueden realizar su acción maliciosa.

Para las víctimas con una infección Emotet existente, la nueva versión vendrá como una actualización, reemplazando a la anterior. Así será como conocerá sus rutas de instalación y podrá limpiarse una vez transcurrido el plazo.

Insertar código a través de una botnet, incluso con buenas intenciones, siempre ha sido un tema espinoso, principalmente debido a las ramificaciones legales que implican tales acciones. La declaración jurada del Departamento de Justicia señala cómo los «agentes de la ley extranjeros, no agentes del FBI, reemplazaron el malware Emotet, que se almacena en un servidor ubicado en el extranjero, con el archivo creado por la policía».

El retraso prolongado para que se active la rutina de limpieza puede explicarse por la necesidad de dar tiempo a los administradores del sistema para realizar análisis forenses y verificar otras infecciones.