Hace exactamente una semana, Emotet, una de las amenazas más peligrosas para las organizaciones en el último año, reanudó sus campañas de spam malicioso después de varios meses de inactividad. Con base en nuestra telemetría, podemos ver que la botnet comenzó a hablar con sus servidores de comando y control (C2), aproximadamente una semana antes de que llegara el spam.

Figura 1: Comunicaciones con Emotet C2 durante 90 días.

Para comenzar su campaña de spam la semana pasada, Emotet reanudó las tácticas de phishing que adoptó a fines de la primavera de 2019, secuestrando viejos hilos de correo electrónico con líneas de asunto personalizadas y apareciendo como facturas antiguas.

Esta semana, Emotet está probando una táctica diferente, incorporando las noticias sobre el nuevo libro Registro permanente del denunciante de la NSA Edward Snowden como señuelo. Las memorias, que ya están en la lista de los más vendidos de Amazon, han sido objeto de intensos debates. Además, el gobierno de los Estados Unidos también está demandando a Snowden por violar los acuerdos de confidencialidad y publicar sin aprobación previa.

Se sabe que los delincuentes aprovechan los eventos de interés periodístico para estafas y otros fines de ingeniería social . En este caso particular, los autores de Emotet supuestamente están ofreciendo las memorias de Snowden como un archivo adjunto de Word. Recopilamos correos electrónicos de nuestro honeypot de correo no deseado en inglés, italiano, español y alemán alegando que contenían una copia del libro de Snowden en forma de Word.

Snowden's

Al abrir el documento, se muestra un mensaje falso de que «Word no se ha activado» a las víctimas a las que se les solicita que habiliten el contenido con una advertencia de seguridad amarilla. Una vez que lo hacen, nada parece suceder. Sin embargo, lo que los usuarios no ven es el código de macro malicioso que se ejecutará una vez que hagan clic en el botón.

Figura 3: documento falso que contiene código macro

La macro activa un comando de PowerShell que recuperará el binario de malware Emotet de un sitio comprometido de WordPress. Después de la infección, la máquina intentará comunicarse con uno de los muchos C2 de Emotet:

Figura 4: tráfico de red tras la infección

A medida que avanza cada nueva semana, los actores de amenazas detrás de Emotet siempre son puntuales con la entrega de sus mensajes de spam, gracias a su gran botnet. Y una vez que han enviado spam e infiltrado en un punto final, su trabajo está lejos de terminar. Como hemos dicho antes , Emotet es una amenaza doble o incluso triple si no se pone en cuarentena de inmediato.

Las cargas útiles de seguimiento, como TrickBot y Ryuk ransomware, son las que realmente pueden paralizar cualquier negocio que no esté preparado.

Los usuarios comerciales de Malwarebytes y los usuarios domésticos Premium ya están protegidos contra esta amenaza.

Indicadores de compromiso (COI)

Documento de Word malicioso

5ab7a5cf290ebf52647771f893a2fa322a9b1891e5a5e54811c500dd290c8477

Carga útil de Emotet

757b35d20f05b98f2c51fc7a9b6a57ccbbd428576563d3aff7e0c6b70d544975

Tráfico de red

Emotet: www.cia.com[.]py/wp-content/uploads/2019/09/XNFerERN/  
Emotet C2: 62.75.171.248:7080/chunk/window/ringin/  
Emotet C2: 133.130.73[.]156
Emotet C2: 178.32.255[.]133