Centro Nacional de Respuesta a Incidentes de Seguridad Informática

Nuevos riesgos

Como método de distribución habitualmente utiliza campañas de correos de SPAM, también llamados “malspam”.

Estos correos buscan engañar a las potenciales víctimas utilizando diferentes técnicas para ocultar que se trata de un correo malicioso. Su nueva metodología hace foco en utilizar ingeniería social con el fin de lograr que personas usuarias descarguen un archivo o lo ejecuten en su estación de trabajo.

La última versión del malware presenta algunos cambios, busca mediante la ejecución de macros 4.0 utilizando como base Microsoft Office (principalmente Excel), lograr la ejecución de comandos CMD, Wscript o Powershell; lo que iniciaría otro proceso como MSHTA.exe (identificado hasta el momento), el que se encargará de descargar la parte del código del malware que realiza la acción maliciosa (playload principal).

Actualmente, se ha identificado que Emotet utiliza Cobalt Strike (*), por lo que se considera que la afectación con este malware puede desencadenar una infección de ransomware. Asimismo, este malware utiliza una nueva cadena de ejecución que ha evolucionado y ha cambiado de la ejecución de .EXE a un archivo .DLL, cuyo payload se carga a través del proceso Rundll32.exe

(*) Cobalt Strike es una herramienta de seguridad legítima que fue utilizada para pruebas de penetración y emula actividad de actores maliciosos en una red.

Recomendaciones

• Alertar al personal de la organización sobre esta amenaza, solicitando verificar la casilla de correo del destinatario (a veces oculta bajo un nombre y apellido conocidos), antes de enviar una respuesta o abrir algún adjunto de un correo sospechoso.
• Realizar campañas de concientización para identificar correos fraudulentos.
• Utilizar software de antivirus con actualizaciones automáticas.
• Deshabilitar macros de terceros, abriéndose al menos en modo “Visualización protegida”.
• Catalogar como “spam” los correos que provengan de dominios no confiables (por ejemplo, listas negras).
• Desconfiar de correos que presenten dentro del mensaje:
  • archivos adjuntos con extensiones .xlsm, .doc o .xls
  • archivos .zip con contraseña

• Aislar los equipos infectados con el malware.
• Bloquear en la solución de correo electrónico la recepción de archivos .zip con contraseña.

Referencias

Los resultados contenidos en la fuente de indicadores de compromiso son dinámicos y no están validados en su totalidad por el CERTuy.

Acceder al sitio al sitio Threat Fox

Enlaces de Interés:

• Emotet Is Not Dead (Yet) - VMware Security Blog 
• Acceder a los materiales generados en el marco de la campaña Seguro te Conectás