Una de las amenazas más peligrosas e infames está de regreso. En enero de 2021, los funcionarios mundiales eliminaron la red de bots. La policía envió una actualización destructiva a los ejecutables de Emotet. Y parecía el final de la historia del troyano.
Pero el malware nunca dejó de sorprender.
Noviembre de 2021, se informó que TrickBot ya no funciona solo y entrega Emotet. Y ANY.RUN con colegas de la industria fueron de los primeros en notar la aparición de los documentos maliciosos de Emotet.
Primeros documentos maliciosos de Emotet |
Y este febrero, podemos ver una ola muy activa con ladrones que ejecutan numerosos ataques, llegando a lo más alto de la clasificación. Si está interesado en este tema o investigando malware, puede hacer uso de la ayuda especial de CUALQUIER EJECUTARel sandbox interactivo para la detección y análisis de ciberamenazas.
Veamos los cambios de la nueva versión que trajo este malware disruptivo esta vez.
Historial de emoticonos
Emotet es una botnet modular sofisticada que cambia constantemente. En 2014, el malware era solo un troyano bancario trivial. Desde entonces, ha adquirido diferentes funciones, módulos y campañas:
- 2014. Módulos de transferencia de dinero, spam de correo, DDoS y robo de libreta de direcciones.
- 2015. Funcionalidad de evasión.
- 2016. Correo no deseado, kit de explotación RIG 4.0, entrega de otros troyanos.
- 2017. Un módulo esparcidor y ladrón de libreta de direcciones.
La naturaleza polimórfica y numerosos módulos permiten que Emotet evite la detección. El equipo detrás del malware cambia constantemente sus tácticas, técnicas y procedimientos para hacer inútiles las reglas de detección existentes. Descarga payloads adicionales siguiendo numerosos pasos para permanecer en el sistema infectado. Su comportamiento hace que el malware sea casi imposible de eliminar. Se propaga rápidamente, crea indicadores defectuosos y se adapta a las necesidades de los atacantes.
Y el 14 de noviembre de 2021, Emotet renacía con una nueva versión.
¿Por qué renació Emotet?
A lo largo de la historia de emotet, tuvo varios descansos. Pero después de las operaciones policiales globales en enero de 2021, estábamos listos para que se fuera para siempre. La aplicación conjunta arrestó a varios pandilleros, se apoderó de los servidores y destruyó las copias de seguridad.
Sin embargo, la botnet volvió aún más robusta. Es hábil en las técnicas de evasión y utiliza varias formas de comprometer las redes, lo que lo hace tan peligroso como solía ser.
Se rastreó que Trickbot intentó descargar una biblioteca de enlaces dinámicos (DLL) al sistema. Y las DLL resultaron ser Emotet, y más tarde, los investigadores confirmaron el hecho.
En 2021, después del regreso, Emotet lideró el top 3 de cargas en el entorno limitado de ANY.RUN. Incluso después de un descanso tan largo, todavía se hizo popular. Todas las estadísticas sobre Tendencias de emoticonos están disponibles en Malware Trends Tracker, y los números se basan en las presentaciones públicas.
Principales subidas de malware de la última semana |
No es de extrañar ahora que sus operaciones han vuelto a la normalidad, CUALQUIERA. La base de datos de RUN se vuelve casi 3 mil muestras maliciosas por semana. Y cada vez es más claro que debe prepararse para este tipo de ataque en cualquier momento.
¿Qué novedades ha adquirido Emotet?
El troyano ya es una seria amenaza para cualquier empresa. Conocer todas las actualizaciones de malware puede ayudar a evitar dicha amenaza y ser cauteloso. Investiguemos qué características trae una nueva versión y en qué se diferencia de las anteriores.
Plantillas
Las campañas de Emotet comienzan con un correo electrónico malicioso que contiene documentos de Office maliciosos (documentos de Microsoft Office armados) o hipervínculos adjuntos al correo electrónico de phishing, que se distribuye ampliamente y atrae a las víctimas para que abran archivos adjuntos maliciosos. El documento de Microsoft Office armado tiene un código VBA y una macro AutoOpen para su ejecución. El grupo Emotet atrae a sus víctimas para habilitar las macros, y esta es la única interacción del usuario requerida para iniciar el ataque. Esta interacción del usuario permite eludir las pruebas y verificaciones de los sandboxes.
Emotet distribuye mediante campañas de correo electrónico maliciosas que generalmente consisten en documentos de Office. Y el malware se vuelve muy creativo con las plantillas de sus maldocs. La botnet los cambia constantemente: imita actualizaciones de programas, mensajes, archivos. Y el contenido incorpora la macro VBA ofuscada y crea diferentes cadenas de ejecución. Los autores detrás del malware engañan a los usuarios para que habiliten las macros para iniciar el ataque.
Y una nueva versión también tiene un giro. En el verano de 2020, Emotet usó un documento con el mensaje de Office 365. La imagen permanece sin cambios, pero cambió al formato XLS. Además, en esta nueva versión, la primera vez se utilizó en formato hexadecimal y octal para representar la dirección IP desde la que se descargó la segunda etapa. Una técnica posterior se cambió nuevamente, y los delincuentes no usan la IP codificada HEX para descargar la carga útil.
Plantillas de emoticonos en febrero |
Nuevas técnicas
Emotet sigue subiendo el listón como criatura polimórfica al lograr nuevas técnicas. La última versión de malware ha presentado algunos cambios menores en las tácticas: vuelve a aprovechar MSHTA. En general, Macro 4.0 aprovecha Excel para ejecutar CMD, Wscript o Powershell, que inicia otro proceso como MSHTA o uno mencionado anteriormente que descarga la carga útil principal y la ejecuta rundll32.
La botnet está interesada en enmascarar cadenas y contenido maliciosos como URL, IP, comandos o incluso códigos shell. Pero a veces, puede obtener la lista de URL e IP del script del archivo. Definitivamente puedes encontrarlo por ti mismo en CUALQUIER. Descubrimiento estático de RUN: pruébalo!
Lista de URL del archivo PNG falso de Emotet |
Compañeros
Sabemos que Emotet suele lanzar otro malware para empeorar la infección. En noviembre, se identificó que la botnet entregó el troyano bancario Trickbot en los hosts comprometidos.
Actualmente, podemos notar que Emotet funciona con Cobalt Strike. Es un marco C2 utilizado por los probadores de penetración y los delincuentes también. Tener Cobalt Strike en el escenario significa que el tiempo entre la infección inicial y un ataque de ransomware se acorta significativamente.
Una lista de IOC de Cobalt Strike de la infección de Emotet |
Árbol de procesos
La cadena de ejecución también recibió algunas modificaciones. En la mayoría de los casos, podemos notar un proceso secundario CMD, un PowerShell y Rundll32, y varias muestras demuestran que los autores prefieren mezclar procesos, cambiando constantemente su orden. El objetivo principal detrás de esto es evitar la detección por conjuntos de reglas que identifican una amenaza por parte de los procesos secundarios de una aplicación.
Árbol de procesos de Emotet |
Línea de comando
Emotet cambió de archivos EXE a DLL hace mucho tiempo, por lo que la carga útil principal se ejecutó bajo Rundll32. El uso abundante de Powershell y CMD permanece sin cambios:
Línea de comandos de Emotet |
¿Cómo detectar y protegerse contra Emotet?
Si necesita una forma rápida y conveniente de obtener información completa sobre la muestra de Emotet, use herramientas modernas. El sandbox interactivo ANY.RUN permite monitorear procesos en tiempo real y recibir todos los datos necesarios de inmediato.
Los conjuntos de reglas de Suricata identifican con éxito diferentes programas maliciosos, incluido Emotet. Además, con la función de red falsa para revelar enlaces C2 de una muestra maliciosa. Esta funcionalidad también ayuda a recopilar IOC de malware.
Las muestras de Emotet van y vienen, y es difícil seguirles el ritmo. Por lo tanto, le recomendamos que consulte muestras frescas que se actualizan diariamente en nuestro envíos públicos.
Emotet demuestra ser una bestia entre las amenazas cibernéticas más peligrosas en la naturaleza. El malware mejora su funcionalidad y trabaja para evadir la detección. Por eso es fundamental contar con herramientas efectivas como CUALQUIER EJECUCIÓN.
¡Disfruta de la caza de malware!