Análisis
En esta campaña de febrero de 2019, EMOTET hace uso de adjuntos maliciosos en Word que se presentan como facturas, notificaciones de pago, alertas de cuentas bancarias, etc, y que simulan ser de organizaciones legítimas.Paso seguido, el payload de EMOTET es instalado y ejecutado, establece persistencia en la computadora, y reporta que el compromiso se realizó de manera exitosa a su servidor C&C. Inmediatamente después, recibe instrucciones acerca de qué módulos de ataque y payloads secundarios debe descargar.
Los módulos extienden las funcionalidades de los payloads iniciales con las siguientes capacidades: robo de credenciales, propagación en la red, recopilación de información sensible, reenvío de puertos, entre otras más.
El aspecto más importante y que puede llevar fácilmente a la confusión de quién recibe la información, es que el correo es enviado (aparentemente) por una "persona" que es un contacto conocido de la víctima, e incluso está firmado por esta misma "persona" con la dirección que normalmente utiliza. Es decir, el usuario recibe entonces un correo electrónico con spoofing de un conocido y con información comercialmente coherente.
El adjunto contiene una macro altamente ofuscada, como la siguiente:
Ejemplos de análisis
- https://www.hybrid-analysis.com/sample/3adcc0255f1bf651c0c060237b2784e33c47e3a4839f6d194f0ee5f35396816e?environmentId=100
- https://www.hybrid-analysis.com/sample/d09380eeabd4bc93ba1a3fcd2efc707d5f55c2c1f00557dbea41ad691a2cf8da?environmentId=100
Remitentes falsificados, SPF, DKIM y DMARC, eludidos
Otro aspecto de EMOTET es que los atacantes están usando técnicas para falsificar los dominios de remitente para que los correos con la carga maliciosa sean más creíbles. En particular las protecciones SPF, DKIM y DMARC aparentemente no están siendo efectivas y esto desorienta a los encargados de la seguridad de los dominios que son falsificados.Una nota de BleepingComputer del año pasado describe, al menos en parte este problema, el "secuestro" de subdominios para eludir la detección de correos que no provienen del servidor declarado por el propietario del dominio.
Cristian Borghello, Raul Batista y Javier Besso de la Redacción de Segu-Info
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!