{"id":8558,"date":"2022-02-28T17:13:13","date_gmt":"2022-02-28T17:13:13","guid":{"rendered":"https:\/\/teknomers.com\/es\/reborn-of-emotet-nuevas-funciones-de-la-botnet-y-como-detectarla\/"},"modified":"2022-02-28T17:13:31","modified_gmt":"2022-02-28T17:13:31","slug":"reborn-of-emotet-nuevas-funciones-de-la-botnet-y-como-detectarla","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/reborn-of-emotet-nuevas-funciones-de-la-botnet-y-como-detectarla\/","title":{"rendered":"Reborn of Emotet: Nuevas funciones de la Botnet y c\u00f3mo detectarla"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Una de las amenazas m\u00e1s peligrosas e infames est\u00e1 de regreso.  En enero de 2021, los funcionarios mundiales eliminaron la red de bots.  La polic\u00eda envi\u00f3 una actualizaci\u00f3n destructiva a los ejecutables de Emotet.  Y parec\u00eda el final de la historia del troyano. <\/p>\n<p>Pero el malware nunca dej\u00f3 de sorprender. <\/p>\n<p>Noviembre de 2021, se inform\u00f3 que TrickBot ya no funciona solo y entrega Emotet.  Y ANY.RUN con colegas de la industria fueron de los primeros en notar la aparici\u00f3n de los documentos maliciosos de Emotet.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"Malware de red de bots Emotet\" border=\"0\" data-original-height=\"668\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/1646068389_930_Reborn-of-Emotet-Nuevas-funciones-de-la-Botnet-y-como.jpeg\" title=\"Malware de red de bots Emotet\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Primeros documentos maliciosos de Emotet<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Y este febrero, podemos ver una ola muy activa con ladrones que ejecutan numerosos ataques, llegando a lo m\u00e1s alto de la clasificaci\u00f3n.  Si est\u00e1 interesado en este tema o investigando malware, puede hacer uso de la ayuda especial de <a rel=\"nofollow noopener\" href=\"https:\/\/app.any.run\/?_ga=2.140964786.1476370657.1645379791-1331486471.1633608716\/&amp;%5B%E2%80%A6%5Dsource=site&amp;utm_medium=article&amp;utm_campaign=emotet_registration\" target=\"_blank\">CUALQUIER EJECUTAR<\/a>el sandbox interactivo para la detecci\u00f3n y an\u00e1lisis de ciberamenazas.<\/p>\n<p>Veamos los cambios de la nueva versi\u00f3n que trajo este malware disruptivo esta vez. <\/p>\n<h2 style=\"text-align: left\"><strong>Historial de emoticonos<\/strong><\/h2>\n<p>Emotet es una botnet modular sofisticada que cambia constantemente.  En 2014, el malware era solo un troyano bancario trivial.  Desde entonces, ha adquirido diferentes funciones, m\u00f3dulos y campa\u00f1as: <\/p>\n<ul>\n<li>2014. M\u00f3dulos de transferencia de dinero, spam de correo, DDoS y robo de libreta de direcciones.<\/li>\n<li>2015. Funcionalidad de evasi\u00f3n.<\/li>\n<li>2016. Correo no deseado, kit de explotaci\u00f3n RIG 4.0, entrega de otros troyanos.<\/li>\n<li>2017. Un m\u00f3dulo esparcidor y ladr\u00f3n de libreta de direcciones.<\/li>\n<\/ul>\n<p>La naturaleza polim\u00f3rfica y numerosos m\u00f3dulos permiten que Emotet evite la detecci\u00f3n.  El equipo detr\u00e1s del malware cambia constantemente sus t\u00e1cticas, t\u00e9cnicas y procedimientos para hacer in\u00fatiles las reglas de detecci\u00f3n existentes.  Descarga payloads adicionales siguiendo numerosos pasos para permanecer en el sistema infectado.  Su comportamiento hace que el malware sea casi imposible de eliminar.  Se propaga r\u00e1pidamente, crea indicadores defectuosos y se adapta a las necesidades de los atacantes.<\/p>\n<p>Y el 14 de noviembre de 2021, Emotet renac\u00eda con una nueva versi\u00f3n.<\/p>\n<h2 style=\"text-align: left\"><strong>\u00bfPor qu\u00e9 renaci\u00f3 Emotet?<\/strong><\/h2>\n<p>A lo largo de <a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/cybersecurity-blog\/rise-and-fall-of-emotet\/?utm_source=blog&amp;utm_medium=article&amp;utm_campaign=emotet_article\" target=\"_blank\">la historia de emotet,<\/a> tuvo varios descansos.  Pero despu\u00e9s de las operaciones policiales globales en enero de 2021, est\u00e1bamos listos para que se fuera para siempre.  La aplicaci\u00f3n conjunta arrest\u00f3 a varios pandilleros, se apoder\u00f3 de los servidores y destruy\u00f3 las copias de seguridad.<\/p>\n<p>Sin embargo, la botnet volvi\u00f3 a\u00fan m\u00e1s robusta.  Es h\u00e1bil en las t\u00e9cnicas de evasi\u00f3n y utiliza varias formas de comprometer las redes, lo que lo hace tan peligroso como sol\u00eda ser.<\/p>\n<p>Se rastre\u00f3 que Trickbot intent\u00f3 descargar una biblioteca de enlaces din\u00e1micos (DLL) al sistema.  Y las DLL resultaron ser Emotet, y m\u00e1s tarde, los investigadores confirmaron el hecho. <\/p>\n<p>En 2021, despu\u00e9s del regreso, Emotet lider\u00f3 el top 3 de cargas en el entorno limitado de ANY.RUN.  Incluso despu\u00e9s de un descanso tan largo, todav\u00eda se hizo popular.  Todas las estad\u00edsticas sobre <a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/malware-trends\/emotet\" target=\"_blank\">Tendencias de emoticonos<\/a> est\u00e1n disponibles en Malware Trends Tracker, y los n\u00fameros se basan en las presentaciones p\u00fablicas. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"600\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/1646068390_380_Reborn-of-Emotet-Nuevas-funciones-de-la-Botnet-y-como.jpeg\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Principales subidas de malware de la \u00faltima semana<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>No es de extra\u00f1ar ahora que sus operaciones han vuelto a la normalidad, CUALQUIERA.  La base de datos de RUN se vuelve casi <strong>3 mil<\/strong> muestras maliciosas por semana.  Y cada vez es m\u00e1s claro que debe prepararse para este tipo de ataque en cualquier momento.<\/p>\n<h2 style=\"text-align: left\"><strong>\u00bfQu\u00e9 novedades ha adquirido Emotet?<\/strong><\/h2>\n<p>El troyano ya es una seria amenaza para cualquier empresa.  Conocer todas las actualizaciones de malware puede ayudar a evitar dicha amenaza y ser cauteloso.  Investiguemos qu\u00e9 caracter\u00edsticas trae una nueva versi\u00f3n y en qu\u00e9 se diferencia de las anteriores. <\/p>\n<h4 style=\"text-align: left\"><strong>Plantillas<\/strong><\/h4>\n<p>Las campa\u00f1as de Emotet comienzan con un correo electr\u00f3nico malicioso que contiene documentos de Office maliciosos (documentos de Microsoft Office armados) o hiperv\u00ednculos adjuntos al correo electr\u00f3nico de phishing, que se distribuye ampliamente y atrae a las v\u00edctimas para que abran archivos adjuntos maliciosos.  El documento de Microsoft Office armado tiene un c\u00f3digo VBA y una macro AutoOpen para su ejecuci\u00f3n.  El grupo Emotet atrae a sus v\u00edctimas para habilitar las macros, y esta es la \u00fanica interacci\u00f3n del usuario requerida para iniciar el ataque.  Esta interacci\u00f3n del usuario permite eludir las pruebas y verificaciones de los sandboxes.<\/p>\n<p>Emotet distribuye mediante campa\u00f1as de correo electr\u00f3nico maliciosas que generalmente consisten en documentos de Office.  Y el malware se vuelve muy creativo con las plantillas de sus maldocs.  La botnet los cambia constantemente: imita actualizaciones de programas, mensajes, archivos.  Y el contenido incorpora la macro VBA ofuscada y crea diferentes cadenas de ejecuci\u00f3n.  Los autores detr\u00e1s del malware enga\u00f1an a los usuarios para que habiliten las macros para iniciar el ataque. <\/p>\n<p>Y una nueva versi\u00f3n tambi\u00e9n tiene un giro.  En el verano de 2020, Emotet us\u00f3 un documento con el mensaje de Office 365.  La imagen permanece sin cambios, pero cambi\u00f3 al formato XLS.  Adem\u00e1s, en esta nueva versi\u00f3n, la primera vez se utiliz\u00f3 en formato hexadecimal y octal para representar la direcci\u00f3n IP desde la que se descarg\u00f3 la segunda etapa.  Una t\u00e9cnica posterior se cambi\u00f3 nuevamente, y los delincuentes no usan la IP codificada HEX para descargar la carga \u00fatil.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/1646068390_290_Reborn-of-Emotet-Nuevas-funciones-de-la-Botnet-y-como.jpeg\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Plantillas de emoticonos en febrero<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h4 style=\"text-align: left\"><strong>Nuevas t\u00e9cnicas<\/strong><\/h4>\n<p>Emotet sigue subiendo el list\u00f3n como criatura polim\u00f3rfica al lograr nuevas t\u00e9cnicas.  La \u00faltima versi\u00f3n de malware ha presentado algunos cambios menores en las t\u00e1cticas: vuelve a aprovechar MSHTA.  En general, Macro 4.0 aprovecha Excel para ejecutar CMD, Wscript o Powershell, que inicia otro proceso como MSHTA o uno mencionado anteriormente que descarga la carga \u00fatil principal y la ejecuta rundll32. <\/p>\n<p>La botnet est\u00e1 interesada en enmascarar cadenas y contenido maliciosos como URL, IP, comandos o incluso c\u00f3digos shell.  Pero a veces, puede obtener la lista de URL e IP del script del archivo.  Definitivamente puedes encontrarlo por ti mismo en CUALQUIER.  Descubrimiento est\u00e1tico de RUN: pru\u00e9balo<a rel=\"nofollow noopener\" href=\"https:\/\/app.any.run\/tasks\/3ff5180f-463d-4109-839f-7f1c3932d340\/\" target=\"_blank\">!<\/a><\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"Malware de red de bots Emotet\" border=\"0\" data-original-height=\"556\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/1646068390_267_Reborn-of-Emotet-Nuevas-funciones-de-la-Botnet-y-como.jpeg\" title=\"Malware de red de bots Emotet\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Lista de URL del archivo PNG falso de Emotet<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h4 style=\"text-align: left\"><strong>Compa\u00f1eros<\/strong><\/h4>\n<p>Sabemos que Emotet suele lanzar otro malware para empeorar la infecci\u00f3n.  En noviembre, se identific\u00f3 que la botnet entreg\u00f3 el troyano bancario Trickbot en los hosts comprometidos.<\/p>\n<p>Actualmente, podemos notar que Emotet funciona con Cobalt Strike.  Es un marco C2 utilizado por los probadores de penetraci\u00f3n y los delincuentes tambi\u00e9n.  Tener Cobalt Strike en el escenario significa que el tiempo entre la infecci\u00f3n inicial y un ataque de ransomware se acorta significativamente.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"528\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/1646068391_607_Reborn-of-Emotet-Nuevas-funciones-de-la-Botnet-y-como.jpeg\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Una lista de IOC de Cobalt Strike de la infecci\u00f3n de Emotet<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h4 style=\"text-align: left\"><strong>\u00c1rbol de procesos<\/strong><\/h4>\n<p>La cadena de ejecuci\u00f3n tambi\u00e9n recibi\u00f3 algunas modificaciones.  En la mayor\u00eda de los casos, podemos notar un proceso secundario CMD, un PowerShell y Rundll32, y varias muestras demuestran que los autores prefieren mezclar procesos, cambiando constantemente su orden.  El objetivo principal detr\u00e1s de esto es evitar la detecci\u00f3n por conjuntos de reglas que identifican una amenaza por parte de los procesos secundarios de una aplicaci\u00f3n.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"462\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/1646068392_154_Reborn-of-Emotet-Nuevas-funciones-de-la-Botnet-y-como.jpeg\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">\u00c1rbol de procesos de Emotet<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h4 style=\"text-align: left\"><strong>L\u00ednea de comando<\/strong><\/h4>\n<p>Emotet cambi\u00f3 de archivos EXE a DLL hace mucho tiempo, por lo que la carga \u00fatil principal se ejecut\u00f3 bajo Rundll32.  El uso abundante de Powershell y CMD permanece sin cambios:<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"Malware de red de bots Emotet\" border=\"0\" data-original-height=\"211\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/1646068392_297_Reborn-of-Emotet-Nuevas-funciones-de-la-Botnet-y-como.jpeg\" title=\"Malware de red de bots Emotet\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">L\u00ednea de comandos de Emotet<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2 style=\"text-align: left\"><strong>\u00bfC\u00f3mo detectar y protegerse contra Emotet? <\/strong><\/h2>\n<p>Si necesita una forma r\u00e1pida y conveniente de obtener informaci\u00f3n completa sobre la muestra de Emotet, use herramientas modernas.  El sandbox interactivo ANY.RUN permite monitorear procesos en tiempo real y recibir todos los datos necesarios de inmediato. <\/p>\n<p>Los conjuntos de reglas de Suricata identifican con \u00e9xito diferentes programas maliciosos, incluido Emotet.  Adem\u00e1s, con la funci\u00f3n de red falsa para revelar enlaces C2 de una muestra maliciosa.  Esta funcionalidad tambi\u00e9n ayuda a recopilar IOC de malware.<\/p>\n<p>Las muestras de Emotet van y vienen, y es dif\u00edcil seguirles el ritmo.  Por lo tanto, le recomendamos que consulte muestras frescas que se actualizan diariamente en nuestro <a rel=\"nofollow noopener\" href=\"https:\/\/app.any.run\/submissions\/?_ga=2.212942038.399551224.1645422281-143452352.1645422281\/#tag:emotet\" target=\"_blank\">env\u00edos p\u00fablicos<\/a>. <\/p>\n<p>Emotet demuestra ser una bestia entre las amenazas cibern\u00e9ticas m\u00e1s peligrosas en la naturaleza.  El malware mejora su funcionalidad y trabaja para evadir la detecci\u00f3n.  Por eso es fundamental contar con herramientas efectivas como<a rel=\"nofollow noopener\" href=\"https:\/\/app.any.run\/?_ga=2.140964786.1476370657.1645379791-1331486471.1633608716\/&amp;utm_source=site&amp;utm_medium=article&amp;utm_campaign=emotet_registration\/#register\" target=\"_blank\"> CUALQUIER EJECUCI\u00d3N.<\/a> <\/p>\n<p>\u00a1Disfruta de la caza de malware!<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/02\/reborn-of-emotet-new-features-of-botnet.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una de las amenazas m\u00e1s peligrosas e infames est\u00e1 de regreso. En enero de 2021, los funcionarios mundiales<\/p>\n","protected":false},"author":1,"featured_media":8559,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,5895,440,4664,11208,11206,4662,11207,4668,4667,4654,4658,4659,4653,4655,2498,4663,11205,4666,4665,4660],"class_list":["post-8558","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-botnet","tag-como","tag-como-hackear","tag-detectarla","tag-emotet","tag-filtracion-de-datos","tag-funciones","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevas","tag-programa-malicioso-ransomware","tag-reborn","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/8558","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=8558"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/8558\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/8559"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=8558"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=8558"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=8558"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}