Después de una pausa de casi dos meses, la botnet Emotet ha regresado con cargas útiles actualizadas y una campaña que alcanza 100.000 objetivos por día.
Emotet comenzó su vida como un troyano bancario en 2014 y ha evolucionado continuamente para convertirse en un mecanismo de entrega de amenazas de servicio completo. Puede instalar una colección de malware en las máquinas víctimas, incluidos ladrones de información, recolectores de correo electrónico, mecanismos de autopropagación y ransomware. Se vio por última vez en volumen en octubre , dirigido a voluntarios del Comité Nacional Demócrata (DNC); y antes de eso, se activó en julio después de una pausa de cinco meses, dejando caer el troyano Trickbot. Antes de eso, en febrero, se vio en una campaña que enviaba mensajes SMS que pretendían ser de los bancos de las víctimas.
"La botnet Emotet es uno de los remitentes más prolíficos de correos electrónicos maliciosos cuando está activa, pero normalmente permanece inactiva durante semanas o meses", dijo Brad Haas, investigador de Cofense, en un blog del martes. “Este año, una de esas pausas duró desde febrero hasta mediados de julio, la pausa más larga que Cofense ha visto en los últimos años. Desde entonces, observaron una actividad Emotet regular hasta finales de octubre, pero nada desde ese momento hasta hoy ".
La botnet también se mantiene fiel a su forma en términos de cargas útiles, dijeron los investigadores. “En octubre, las cargas útiles secundarias más comunes fueron TrickBot, Qakbot y ZLoader ; hoy observamos TrickBot ”, según Haas.
El malware TrickBot es un troyano conocido y sofisticado desarrollado por primera vez en 2016 como malware bancario; como Emotet, tiene un historial de transformarse y agregar nuevas funciones para evadir la detección o mejorar sus capacidades de infección. Los usuarios infectados con el troyano TrickBot verán que su dispositivo se convierte en parte de una botnet que los atacantes utilizan para cargar malware de segunda etapa; los investigadores lo llamaron un "cuentagotas ideal para casi cualquier carga útil adicional de malware".
Las consecuencias típicas de las infecciones de TrickBot son la adquisición de cuentas bancarias, el fraude electrónico de alto valor y los ataques de ransomware. Es más recientemente implementó una funcionalidad diseñada para inspeccionar el firmware UEFI / BIOS de los sistemas de destino. Ha tenido un serio resurgimiento luego de la eliminación en octubre de la infraestructura del malware por parte de Microsoft y otros.
Varias firmas de seguridad vieron la última campaña, y Proofpoint señaló a través de Twitter: “Estamos viendo más de 100.000 mensajes en inglés, alemán, español, italiano y más. Los señuelos utilizan el secuestro de hilos con archivos adjuntos de Word, cremalleras protegidas con pw y URL ".
El secuestro de hilos es un truco que Emotet agregó en otoño, señalado por investigadores de Palo Alto Networks. Los operadores se insertarán en una conversación de correo electrónico existente, respondiendo a un correo electrónico real que se envía desde un objetivo. El destinatario no tiene motivos para pensar que el correo electrónico sea malicioso.
Sherrod DeGrippo, director senior de investigación y detección de amenazas en Proofpoint, dijo a Threatpost que la campaña de esta semana es bastante estándar para Emotet.
“Nuestro equipo todavía está revisando las nuevas muestras y hasta ahora solo hemos encontrado cambios menores. Por ejemplo, el binario Emotet ahora se sirve como una DLL en lugar de un .exe ”, dijo DeGrippo. “Normalmente observamos cientos de miles de correos electrónicos al día cuando Emotet está en funcionamiento. Esta campaña está a la par para ellos. Como estas campañas están en curso, estamos haciendo totales de forma continua. Los volúmenes en estas campañas son similares a otras campañas en el pasado, generalmente alrededor de 100,000 a 500,000 por día ".
Agregó que lo más interesante de la campaña es el momento.
"Normalmente vemos que Emotet cesa sus operaciones el 24 de diciembre hasta principios de enero", señaló. "Si continúan con ese patrón, esta actividad reciente sería increíblemente breve e inusual para ellos".
Mientras tanto, los investigadores de Malwarebytes señalaron que los actores de amenazas alternan entre diferentes señuelos de phishing para que los usuarios de ingeniería social habiliten macros, incluidos los temas COVID-19 . Los investigadores también observaron que la banda Emotet cargaba su carga útil con un mensaje de error falso .
El equipo de Cofense de Haas observó la misma actividad y señaló que marca una evolución para la pandilla Emotet.
“El nuevo Emotet maldoc incluye un cambio notable, probablemente destinado a evitar que las víctimas se den cuenta de que acaban de ser infectadas”, dijo. “El documento todavía contiene código de macro malicioso para instalar Emotet, y aún afirma ser un documento“ protegido ”que requiere que los usuarios habiliten macros para poder abrirlo. La versión anterior no daría ninguna respuesta visible después de que se habilitaran las macros, lo que puede hacer que la víctima sospeche. La nueva versión crea un cuadro de diálogo que dice que "Word experimentó un error al intentar abrir el archivo". Esto le da al usuario una explicación de por qué no ve el contenido esperado y hace más probable que ignore todo el incidente mientras Emotet se ejecuta en segundo plano ”.
DeGrippo le dijo a Threatpost que una mirada inicial a los correos electrónicos indica que algunos de los hilos secuestrados piden a los destinatarios que abran un archivo adjunto .zip y proporcionen una contraseña para acceder.
El resurgimiento del malware, aunque carece de desarrollos dramáticos de la actividad anterior, debe ser observado por los administradores, dijeron los investigadores.
“Emotet es más temido por sus alianzas con otros delincuentes, especialmente aquellos en el negocio del ransomware. La tríada Emotet - TrickBot - Ryuk causó estragos en la época navideña de 2018 ”, según Malwarebytes. “Si bien algunos actores de amenazas celebran las vacaciones, también es una oportunidad de oro para lanzar nuevos ataques cuando muchas empresas tienen personal limitado disponible. Este año es aún más crítico a la luz de la pandemia y la reciente debacle de SolarWinds . Instamos a las organizaciones a estar particularmente atentas y continuar tomando medidas para proteger sus redes, especialmente en torno a las políticas de seguridad y el control de acceso ".
Fuente: https://threatpost.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila
0 Comentarios