Emotet está de vuelta: la botnet vuelve a la vida con una nueva campaña de spam

Publicado: 16 de septiembre de 2019 por Threat Intelligence Team
Última actualización: 18 de septiembre de 2019

Después de una pausa bastante larga que duró casi cuatro meses, Emotet regresó con una campaña activa de distribución de spam. Durante algunas semanas, hubo indicios de que la botnet estaba poniendo en marcha sus engranajes nuevamente, ya que observamos la actividad del servidor de comando y control (C2). Pero esta mañana, el troyano comenzó a bombear spam, una clara indicación de que está listo para volver a la acción.

Los correos electrónicos maliciosos comenzaron en las primeras horas del lunes por la mañana, con plantillas en alemán, polaco e italiano . Nuestro equipo de Inteligencia de amenazas comenzó a ver correos electrónicos de phishing enviados en inglés también con el asunto «Aviso de envío de pagos».

Figura 1: Nuestro honeypot de spam que recibe correos electrónicos de Emotet

Tenga en cuenta la personalización en las líneas de asunto del correo electrónico. Tomando prestada una táctica de los actores del estado nación de Corea del Norte, los creadores de Emotet están trayendo de vuelta una funcionalidad altamente sofisticada de phishing lanzada en abril de 2019, que incluye el secuestro de viejos hilos de correo electrónico y referencias al usuario por su nombre.

Figura 2: el correo electrónico de phishing disfrazado de una declaración

Las víctimas son atraídas para abrir el documento adjunto y permitir que la macro inicie el proceso de infección.

Figura 3: el documento de Word emplea ingeniería social para convencer a los usuarios de que ejecuten una macro.

Figura 4: Código de macro ofuscado responsable del lanzamiento de PowerShell

El comando PowerShell desencadenado por los intentos de macro para descargar Emotet de sitios comprometidos, que a menudo se ejecuta en el sistema de administración de contenido (CMS) de WordPress.

También hay técnicas de entrega alternativas. Por ejemplo, algunas instancias del documento malicioso se basan en un script de descarga en su lugar.

Figura 5: secuencia de comandos bloqueada al ejecutar macro

Una vez que la descarga es exitosa y Emotet está instalado en el punto final, comienza a propagarse extendiéndose lateralmente a otros puntos finales en la red y más allá. También roba credenciales de las aplicaciones instaladas y envía la lista de contactos del usuario. Sin embargo, quizás la mayor amenaza es que Emotet sirve como un vector de entrega para cargas útiles más peligrosas, como TrickBot y otras familias de ransomware .

Emotet es más notorio por el daño colateral infligido como parte de un ataque combinado. Apodado la «triple amenaza» por muchos en seguridad, Emotet se asocia con el ransomware TrickBot y Ryuk para un combo extraíble que asegura la máxima penetración a través de la red para que los datos valiosos puedan ser robados y vendidos con fines de lucro, mientras que el resto está encriptado para extorsionar organizaciones a pagar el rescate para recuperar sus archivos y sistemas.

Alternativamente, las máquinas comprometidas pueden permanecer inactivas hasta que los operadores decidan entregar el trabajo a otros grupos criminales que exigirán grandes sumas de dinero, hasta US $ 5 millones, a sus víctimas. En el pasado, hemos visto el infame ransomware Ryuk desplegado de esta manera .

Si bien Emotet generalmente se enfoca en infectar organizaciones, los consumidores individuales también pueden estar en riesgo. Los clientes comerciales de Malwarebytes y los usuarios domésticos de Malwarebytes para Windows Premium ya están protegidos contra esta campaña, gracias a nuestra tecnología anti-exploit sin firma. Como siempre, recomendamos a los usuarios que sean cautelosos al abrir correos electrónicos con archivos adjuntos , incluso si parecen provenir de conocidos.

Figura 6: Protección de Malwarebytes Endpoint que bloquea el ataque

Protección y remediación

Los usuarios que no son clientes de Malwarebytes o que usan el escáner gratuito querrán tomar medidas adicionales para protegerse contra Emotet o limpiar la infección, si ya han sido afectados. Las empresas y organizaciones que actualmente pueden estar luchando contra una infección de Emotet pueden comunicarse con Malwarebytes para obtener ayuda inmediata . O bien, para obtener más información general sobre cómo funciona Emotet y una lista de consejos para la reparación y consejos, descargue nuestro kit de emergencia de Emotet .

Como esta campaña no tiene ni un día, todavía no sabemos el impacto en las organizaciones y otros usuarios. Continuaremos actualizando esta publicación a medida que aprendamos más durante el día. Mientras tanto, advierta a sus compañeros de trabajo, amigos y familiares que tengan cuidado con los correos electrónicos disfrazados de facturas o cualquier otra instancia «phishy» .

Indicadores de compromiso (COI)

Líneas de asunto del correo electrónico

Asesoramiento de pago de remesas
Numero Fattura 2019…

Documentos de Word maliciosos

eee144531839763b15051badbbda9daae38f60c02abaa7794a046f96a68cd10b
fb25f35c54831b3641c50c760eb94ec57481d8c8b1da98dd05ba97080d54ee6a
bee23d63404d97d2b03fbc38e4c554a55a7734d83dbd87f2bf1baf7ed2e39e3e
5d9775369ab5486b5f2d0faac423e213cee20daf5aaaaa9c8b4c3b4e66ea8224

Sitios web pirateados que alojan el binario Emotet

danangluxury [.] com / wp-content / uploads / KTgQsblu /
gcesab [.] com / wp-includes / personaliza / zUfJervuM /
autorepuestosdml [.] com / wp-content / CiloXIptI /
covergt [.] com / wordpress / geh7l30- xq85i1-558 /
zhaoyouxiu [.] com / wp-includes / vxqo-84953w-5062 /
rockstareats [.] com / wp-content / themes / NUOAajdJ /
inwil [.] com / wp-content / oyFhKHoe
inesmanila [.] com / cgi-bin / otxpnmxm-3okvb2-29756 /
dateandoando [.] com / wp-includes / y0mcdp2zyq_lx14j2wh2-0551284557 /

Binarios Emotet

8f05aa95aa7b2146ee490c2305a2450e58ce1d1e3103e6f9019767e5568f233e
7080e1b236a19ed46ea28754916c43a7e8b68727c33cbf81b96077374f4dc205
61e0ac40dc2680aad77a71f1e6d845a37ab12aa8cd6b638d2dbcebe9195b0f6
f5af8586f0289163951adaaf7eb9726b82b05daa3bb0cc2c0ba5970f6119c77a
6076e26a123aaff20c0529ab13b2c5f11259f481e43d62659b33517060bb63c5

Tráfico posterior a la infección (C2)

187 [.] 155 [.] 233 [.] 46
83 [.] 29 [.] 180 [.] 97
181 [.] 36 [.] 42 [.] 205
200 [.] 21 [.] 90 [.] ] 6
123 [.] 168 [.] 4 [.] 66
151 [.] 80 [.] 142 [.] 33
159 [.] 65 [.] 241 [.] 220
109 [.] 104 [.] 79 [.] 48
43 [.] 229 [.] 62 [.] 186
72 [.] 47 [.] 248 [.] 48
190 [.] 1 [.] 37 [.] 125
46 [.] 29 [.] ] 183 [.] 211
91 [.] 205 [.] 215 [.] 57
178 [.] 79 [.] 163 [.] 131
187 [.] 188 [.] 166 [.] 192
181 [.] 188 [.] 149 [.] 134
125 [.] 99 [.] 61 [.] 162
77 [.] 245 [.] 101 [.] 134
138 [.] 68 [.] 106 [.] 4
187 [.] ] 242 [.] 204 [.] 142
190 [.] 19 [.] 42 [.] 131
213 [.] 120 [.] 104 [.] 180
149 [.] 62 [.] 173 [.] 247
181 [.] 48 [.] 174 [.] 242
80 [.] 85 [.] 87 [.]
122183 [.] 82 [.] 97 [.] 25
185 [.] 86 [.] 148 [.] 222
90 [.] 69 [.] 208 [.] 50
91 [.] 83 [.] 93 [.]
124183 [.] 87 [.] 87 [.] ] 73
62 [.] 210 [.] 142 [.] 58
186 [.] 83 [.] 133 [.] 253
109 [.] 169 [.] 86 [.] 13
179 [.] 62 [.] 18 [.] 56
81 [.] 169 [.] 140 [.] 14
187 [.] 144 [.] 227 [.] 2
69 [.] 163 [.] 33 [.] 82
88 [.] 250 [.] ] 223 [.] 190
190 [.] 230 [.] 60 [.] 129
37 [.] 59 [.] 1 [.] 74
203 [.] 25 [.] 159 [.] 3
79 [.] 143 [.] 182 [.] 254
200 [.] 57 [.] 102 [.] 71
217 [.] 199 [.] 175 [.] 216
201 [.] 219 [.] 183 [.] 243
196 [. ] 6 [.] 112 [.] 70
200 [.] 58 [.] 171 [.] 51
5 [.] 77 [.] 13 [.] 70
217 [.] 113 [.] 27 [.] 158
46 [.] 249 [.] 204 [.] 99
159 [.] 203 [.] 204 [.] 126
170 [.] 247 [.] 122 [.] 37
200 [.] 80 [.] 198 [.] 34
62 [.] 75 [.] 143 [.] 100
89 [.] 188 [.] 124 [.] 145
143 [.] 0 [.] 245 [.] ] 169
190 [.] 117 [.] 206 [.] 153
77 [.] 122 [.] 183 [.] 203
46 [.] 21 [.] 105 [.] 59
181 [.] 39 [.] 134 [.] 122
86 [.] 42 [.] 166 [.] 147
23 [.] 92 [.] 22 [.] 225

179 [.] 12 [.] 170 [.] 88
182 [.] 76 [.] 6 [.] 2
201 [.] 250 [.] 11 [.] 236
86 [.] 98 [.] 25 [.] ] 30
198 [.] 199 [.] 88 [.] 162
178 [.] 62 [.] 37 [.] 188
92 [.] 51 [.] 129 [.] 249
92 [.] 222 [.] 125 [.] 16
142 [.] 44 [.] 162 [.] 209
92 [.] 222 [.] 216 [.] 44
138 [.] 201 [.] 140 [.] 110
64 [.] 13 [.] ] 225 [.] 150
182 [.] 176 [.] 132 [.] 213
37 [.] 157 [.] 194 [.] 134
206 [.] 189 [.] 98 [.] 125
45 [.] 123 [.] 3 [.] 54
45 [.] 33 [.] 49 [.] 124
178 [.] 79 [.] 161 [.] 166
104 [.] 131 [.] 11 [.] 150
173 [.] ] 212 [.] 203 [.] 26
88 [.] 156 [.] 97 [.] 210
190 [.] 145 [.] 67 [.] 134
144 [.] 139 [.] 247 [.] 220
159 [.] 65 [.] 25 [.] 128
186 [.] 4 [.] 172 [.] 5
87 [.] 106 [.] 136 [.] 232
189 [.] 209 [.] 217 [.] 49
149 [.] 202 [.] 153 [.] 252
78 [.] 24 [.] 219 [.] 147
125 [.] 99 [.] 106 [.] ] 226
95 [.] 128 [.] 43 [.] 213
47 [.] 41 [.] 213 [.] 2
37 [.] 208 [.] 39 [.] 59
185 [.] 94 [.] 252 [.] 13
212 [.] 71 [.] 234 [.] 16
87 [.] 106 [.] 139 [.] 101
188 [.] 166 [.] 253 [.] 46
175 [.] 100 [.] ] 138 [.] 82
85 [.] 104 [.] 59 [.] 244
62 [.] 75 [.] 187 [.] 192
91 [.] 205 [.] 215 [.] 66
136 [.] 243 [.] 177 [.] 26
190 [.] 186 [.] 203 [.] 55
162 [.] 243 [.] 125 [.] 212
91 [.] 83 [.] 93 [.] 103
217 [.] ] 160 [.] 182 [.] 191
94 [.] 205 [.] 247 [.] 10
211 [.] 63 [.] 71 [.] 72
41 [.] 220 [.] 119 [.] 246
104 [.] 236 [.] 246 [.] 93
117 [.] 197 [.] 124 [.] 36
75 [.] 127 [.] 14 [.] 170
31 [.] 12 [.] 67 [.] 62
169 [.] 239 [.] 182 [.] 217
179 [.] 32 [.] 19 [.] 219
177 [.] 246 [.] 193 [.] ] 139
31 [.] 172 [.] 240 [.] 91
152 [.] 169 [.] 236 [.] 172
201 [.] 212 [.] 57 [.] 109
222 [.] 214 [.] 218 [.] 192
87 [.] 230 [.] 19 [.] 21
46 [.] 105 [.] 131 [.] 87
182 [.] 176 [.] 106 [.] 43

Emotet está de vuelta: la botnet vuelve a la vida con una nueva campaña de spam