{"id":417448,"date":"2022-10-10T15:20:37","date_gmt":"2022-10-10T15:20:37","guid":{"rendered":"https:\/\/teknomers.com\/es\/nuevo-informe-descubre-las-tecnicas-de-entrega-y-evasion-de-emotet-utilizadas-en-ataques-recientes\/"},"modified":"2022-10-10T15:20:38","modified_gmt":"2022-10-10T15:20:38","slug":"nuevo-informe-descubre-las-tecnicas-de-entrega-y-evasion-de-emotet-utilizadas-en-ataques-recientes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nuevo-informe-descubre-las-tecnicas-de-entrega-y-evasion-de-emotet-utilizadas-en-ataques-recientes\/","title":{"rendered":"Nuevo informe descubre las t\u00e9cnicas de entrega y evasi\u00f3n de Emotet utilizadas en ataques recientes"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Los actores de amenazas asociados con el notorio malware Emotet est\u00e1n cambiando continuamente sus t\u00e1cticas y su infraestructura de comando y control (C2) para escapar de la detecci\u00f3n, seg\u00fan una nueva investigaci\u00f3n de VMware.<\/p>\n

Emotete<\/a> es el trabajo de un actor de amenazas rastreado como Mummy Spider (tambi\u00e9n conocido como TA542), que surgi\u00f3 en junio de 2014 como un troyano bancario antes de transformarse en un cargador de uso m\u00faltiple en 2016 que es capaz de entregar cargas \u00fatiles de segunda etapa, como ransomware.<\/p>\n

Si bien la infraestructura de la botnet se elimin\u00f3 como parte de una operaci\u00f3n coordinada de aplicaci\u00f3n de la ley en enero de 2021, Emotet se recuper\u00f3 en noviembre de 2021 a trav\u00e9s de otro malware conocido como TrickBot.<\/p>\n

La resurrecci\u00f3n de Emotet, orquestada por el ahora desaparecido equipo de Conti, ha allanado el camino para las infecciones de Cobalt Strike y, m\u00e1s recientemente, los ataques de ransomware que involucran a Quantum y BlackCat.<\/p>\n

\"La<\/a><\/div>\n

“La adaptaci\u00f3n continua de la cadena de ejecuci\u00f3n de Emotet es una de las razones por las que el malware ha tenido \u00e9xito durante tanto tiempo”, dijeron investigadores de la Unidad de An\u00e1lisis de Amenazas (TAU) de VMware en un informe compartido con The Hacker News.<\/p>\n

Los flujos de ataque de Emotet tambi\u00e9n se caracterizan por el uso de diferentes vectores de ataque en un intento de permanecer encubierto durante largos per\u00edodos de tiempo.<\/p>\n

\"\"<\/div>\n

Estas intrusiones generalmente se basan en oleadas de mensajes de spam que entregan documentos con malware o URL incrustadas que, cuando se abren o se hace clic en ellos, conducen a la implementaci\u00f3n del malware.<\/p>\n

Solo en enero de 2022, VMware dijo que observ\u00f3 tres conjuntos diferentes de ataques en los que la carga \u00fatil de Emotet se entreg\u00f3 a trav\u00e9s de una macro Excel 4.0 (XL4), una macro XL4 con PowerShell y una macro de Visual Basic Application (VBA) con PowerShell.<\/p>\n

\"\"<\/div>\n

Algunos de estos ciclos de vida de infecci\u00f3n tambi\u00e9n se destacaron por el abuso de un ejecutable leg\u00edtimo llamado mshta.exe<\/a> para iniciar un archivo HTA malicioso y luego soltar el malware Emotet.<\/p>\n

“Herramientas como mshta y PowerShell, que a veces se denominan binarios vivos de la tierra (LOLBIN), son muy populares entre los actores de amenazas porque est\u00e1n firmadas por Microsoft y Windows conf\u00eda en ellas”, dijeron los investigadores.<\/p>\n

“Esto permite que el atacante realice un ataque adjunto confuso, en el que se enga\u00f1a a las herramientas leg\u00edtimas para que ejecuten acciones maliciosas”.<\/p>\n

Un an\u00e1lisis m\u00e1s detallado de casi 25 000 artefactos DLL \u00fanicos de Emotet muestra que el 26,7 % de ellos fueron descartados por documentos de Excel. Se han identificado hasta 139 cadenas de programas distintivos.<\/p>\n

El resurgimiento de Emotet tambi\u00e9n ha estado marcado por un cambio en la infraestructura C2, con el actor de amenazas operando dos nuevos grupos de botnet denominados \u00c9pocas 4 y 5<\/a>. Antes del desmantelamiento, la operaci\u00f3n Emotet se ejecut\u00f3 sobre tres redes de bots separadas denominadas \u00c9pocas 1, 2 y 3<\/a>.<\/p>\n

\"La<\/a><\/div>\n

Adem\u00e1s de eso, 10\u00a0235 cargas \u00fatiles de Emotet detectadas en la naturaleza entre el 15 de marzo de 2022 y el 18 de junio de 2022 reutilizaron servidores C2 pertenecientes a Epoch 5.<\/p>\n

Dejando a un lado los cambios tanto en las cadenas de ejecuci\u00f3n como en las direcciones IP de C2, tambi\u00e9n se ha visto a Emotet distribuyendo dos nuevos complementos, uno dise\u00f1ado para capturar datos de tarjetas de cr\u00e9dito del navegador Google Chrome y un m\u00f3dulo de difusi\u00f3n que utiliza el protocolo SMB para movimiento lateral.<\/p>\n

\"\"<\/div>\n

Otros componentes importantes incluyen un m\u00f3dulo de spam y ladrones de cuentas para los clientes de correo electr\u00f3nico Microsoft Outlook y Thunderbird.<\/p>\n

La mayor\u00eda de las direcciones IP utilizadas para alojar los servidores se encontraban en EE. UU., Alemania y Francia. Por el contrario, la mayor\u00eda de los m\u00f3dulos de Emotet estaban alojados en India, Corea, Tailandia, Ghana, Francia y Singapur.<\/p>\n

Para protegerse contra amenazas como Emotet, se recomienda implementar la segmentaci\u00f3n de la red, aplicar un modelo Zero Trust y reemplazar los mecanismos de autenticaci\u00f3n predeterminados por alternativas m\u00e1s s\u00f3lidas.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Los actores de amenazas asociados con el notorio malware Emotet est\u00e1n cambiando continuamente sus t\u00e1cticas y su infraestructura<\/p>\n","protected":false},"author":1,"featured_media":417449,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,4664,439,11206,6358,7053,4662,933,4668,246,4667,4654,4658,4659,4653,4655,480,4663,6011,4666,4665,12230,21715,4660],"class_list":["post-417448","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-como-hackear","tag-descubre","tag-emotet","tag-entrega","tag-evasion","tag-filtracion-de-datos","tag-informe","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevo","tag-programa-malicioso-ransomware","tag-recientes","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-tecnicas","tag-utilizadas","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/417448","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=417448"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/417448\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/417449"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=417448"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=417448"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=417448"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}