Los actores de amenazas asociados con el notorio malware Emotet están cambiando continuamente sus tácticas y su infraestructura de comando y control (C2) para escapar de la detección, según una nueva investigación de VMware.
Emotete es el trabajo de un actor de amenazas rastreado como Mummy Spider (también conocido como TA542), que surgió en junio de 2014 como un troyano bancario antes de transformarse en un cargador de uso múltiple en 2016 que es capaz de entregar cargas útiles de segunda etapa, como ransomware.
Si bien la infraestructura de la botnet se eliminó como parte de una operación coordinada de aplicación de la ley en enero de 2021, Emotet se recuperó en noviembre de 2021 a través de otro malware conocido como TrickBot.
La resurrección de Emotet, orquestada por el ahora desaparecido equipo de Conti, ha allanado el camino para las infecciones de Cobalt Strike y, más recientemente, los ataques de ransomware que involucran a Quantum y BlackCat.
«La adaptación continua de la cadena de ejecución de Emotet es una de las razones por las que el malware ha tenido éxito durante tanto tiempo», dijeron investigadores de la Unidad de Análisis de Amenazas (TAU) de VMware en un informe compartido con The Hacker News.
Los flujos de ataque de Emotet también se caracterizan por el uso de diferentes vectores de ataque en un intento de permanecer encubierto durante largos períodos de tiempo.
Estas intrusiones generalmente se basan en oleadas de mensajes de spam que entregan documentos con malware o URL incrustadas que, cuando se abren o se hace clic en ellos, conducen a la implementación del malware.
Solo en enero de 2022, VMware dijo que observó tres conjuntos diferentes de ataques en los que la carga útil de Emotet se entregó a través de una macro Excel 4.0 (XL4), una macro XL4 con PowerShell y una macro de Visual Basic Application (VBA) con PowerShell.
Algunos de estos ciclos de vida de infección también se destacaron por el abuso de un ejecutable legítimo llamado mshta.exe para iniciar un archivo HTA malicioso y luego soltar el malware Emotet.
«Herramientas como mshta y PowerShell, que a veces se denominan binarios vivos de la tierra (LOLBIN), son muy populares entre los actores de amenazas porque están firmadas por Microsoft y Windows confía en ellas», dijeron los investigadores.
«Esto permite que el atacante realice un ataque adjunto confuso, en el que se engaña a las herramientas legítimas para que ejecuten acciones maliciosas».
Un análisis más detallado de casi 25 000 artefactos DLL únicos de Emotet muestra que el 26,7 % de ellos fueron descartados por documentos de Excel. Se han identificado hasta 139 cadenas de programas distintivos.
El resurgimiento de Emotet también ha estado marcado por un cambio en la infraestructura C2, con el actor de amenazas operando dos nuevos grupos de botnet denominados Épocas 4 y 5. Antes del desmantelamiento, la operación Emotet se ejecutó sobre tres redes de bots separadas denominadas Épocas 1, 2 y 3.
Además de eso, 10 235 cargas útiles de Emotet detectadas en la naturaleza entre el 15 de marzo de 2022 y el 18 de junio de 2022 reutilizaron servidores C2 pertenecientes a Epoch 5.
Dejando a un lado los cambios tanto en las cadenas de ejecución como en las direcciones IP de C2, también se ha visto a Emotet distribuyendo dos nuevos complementos, uno diseñado para capturar datos de tarjetas de crédito del navegador Google Chrome y un módulo de difusión que utiliza el protocolo SMB para movimiento lateral.
Otros componentes importantes incluyen un módulo de spam y ladrones de cuentas para los clientes de correo electrónico Microsoft Outlook y Thunderbird.
La mayoría de las direcciones IP utilizadas para alojar los servidores se encontraban en EE. UU., Alemania y Francia. Por el contrario, la mayoría de los módulos de Emotet estaban alojados en India, Corea, Tailandia, Ghana, Francia y Singapur.
Para protegerse contra amenazas como Emotet, se recomienda implementar la segmentación de la red, aplicar un modelo Zero Trust y reemplazar los mecanismos de autenticación predeterminados por alternativas más sólidas.