Nunca se trató de «si» sino de «cuándo». Después de cinco meses de ausencia, el temido Emotet ha regresado. Después de varias falsas alarmas en las últimas semanas, se vio por primera vez una campaña de spam el 13 de julio que mostraba signos de un probable regreso.

Las botnets Emotet comenzaron a impulsar el malspam activamente el viernes 17 de julio, utilizando las mismas técnicas que emplearon anteriormente. Los correos electrónicos maliciosos contienen una URL o un archivo adjunto. Una técnica familiar es que el documento se envíe como respuesta dentro de los hilos de correo electrónico existentes.

Emotet correos electrónicos maliciosos con documento adjunto

El documento contiene una macro muy ofuscada:

Emotet malware oculto en macro de documento de Word

Una vez que la macro está habilitada, WMI lanza PowerShell para recuperar el binario Emotet de uno de los sitios web remotos comprometidos. Recorrerá una lista hasta que identifique una que responda.

Emotet malware ejecutando carga útil

Una vez que se ejecuta la carga útil, enviará una confirmación a uno de los servidores de comando y control de Emotet.

Emotet ha vuelto a sus viejos trucos.

El troyano Emotet fue, con mucho, la amenaza más visible y activa en nuestros radares en 2018 y 2019 , hasta que entró en un descanso prolongado.

Emotet es utilizado por los ciberdelincuentes como el punto de entrada inicial, seguido de un tiempo de permanencia que puede durar días o semanas. Mientras tanto, otras amenazas como TrickBot se pueden entregar como carga secundaria.

El daño real que causa un compromiso de Emotet ocurre cuando forma alianzas con otras pandillas de malware y, en particular, con actores de amenazas interesados ​​en dejar caer el ransomware.

Los usuarios de Malwarebytes ya estaban protegidos contra Emotet gracias a nuestra tecnología anti-exploit sin firma.

Malwarebytes bloquea emotet con tecnología anti-exploit sin firma

También detectamos el binario Emotet como un archivo independiente:

Malwarebytes detecta el binario de Emotet como un archivo independiente

Indicadores de compromiso

Documentos maliciosos

5d2c6110f2ea87a6b7fe9256affbac0eebdeee18081d59e05df4b4a17417492b
4fdff0ebd50d37a32eb5c3a1b2009cb9764e679d8ee95ca7551815b7e8406206
bb5602ea74258ccad36d28f6a5315d07fbeb442a02d0c91b39ca6ba0a0fe71a2
6d86e68c160b25d25765a4f1a2f8f1f032b2d5cb0d1f39d1d504eeaa69492de0
18fab1420a6a968e88909793b3d87af2e8e1e968bf7279d981276a2aa8aa678e
d5213404d4cc40494af138f8051b01ec3f1856b72de3e24f75aca8c024783e89

Sitios comprometidos

elseelektrikci [.] com
rviradeals [.] com
skenglish [.] com
packersmoversmohali [.] com
tri-comma [.] com
ramukakaonline [.] com
shubhinfoways [.] com
test2.cxyw [.] net Sustainableandorganicgarments
[.] com
puesta en escena .icuskin [.] com
fivestarcleanerstx [.] com
bhandaraexpress [.] com
crm.shaayanpharma [.] com
zazabajouk [.] com
e2e-solution [.] com
topgameus [.] com
cpads [.] net
tyres2c [.] com
thesuperservice [.] com
ssuse [.] com

Binarios Emotet

454d3f0170a0aa750253d4bf697f9fa21b8d93c8ca6625c935b30e4b18835374
d51073eef56acf21e741c827b161c3925d9b45f701a9598ced41893c723ace23
1368a26328c15b6d204aef2b7d493738c83fced23f6b49fd8575944b94bcfbf4
7814f49b3d58b0633ea0a2cb44def98673aad07bd99744ec415534606a9ef314
f04388ca778ec86e83bf41aa6bfa1b163f42e916d0fbab7e50eaadc8b47caa50

C2s

178.210.171 [.] 15
109.117.53 [.] 230
212.51.142 [.] 238
190.160.53 [.] 126