22 dic. 2020

Regalo de Navidad: adjunto con #EMOTET

EMOTET no descansa, ni en las fiestas. Como cada año o, en realidad cada 2/3 meses (más o menos) EMOTET se distribuye a través de grandes campañas de spam y phishing personalizado en distintos idiomas y con distintos tipo de adjuntos.

Los delincuentes detrás de EMOTET cambian continuamente entre diferentes señuelos de phishing y engaños de ingeniería social, cuyo objetivo es hacer que los usuarios habiliten las macros en documentos .DOC (no DOCX o DOCM).

En la campaña iniciada ayer, el procedimiento utilizado es el siguiente, a través de técnicas de Fileless y malwareless:

  1. El usuario recibe un correo electrónico, generalmente en su propio idioma y de un contacto conocido. Sin embargo, si se presta atención, el correo utiliza técnicas de spoofing para falsificar el origen del correo.
  2. El correo tiene un adjunto .ZIP con contraseña y la misma se encuentra en el cuerpo del mensaje. Este es un buen indicador de esta campaña: el adjunto ZIP con contraseña numérica de 3 dígitos. 
  3. El ZIP contiene un archivo DOC. Este DOC tiene una macro fuertemente ofuscada. Se utilizan archivos DOC porque este formato posibilita incorporar macros VBA, lo cual no es permitido en los nuevos archivos DOCX, a menos que se cree un DOCM.
  4. Al abrir el documento, se ejecuta la macro, se desofusca en tiempo real y se ejecutan comandos del sistema operativo como CMD, Powershell, MSG, etc. A través de ejecución de estos comandos, se descarga el payload real desde una URL/IP. En este caso el Payload es una DLL que luego se ejecuta a través de RunDLL e infecta al usuario. Este malware puede ser un ransomware u otro tipo de troyano.

La mejor forma de evitar este tipo de ataques es a través de la concientización pero, de todos modos, se ha publicado una serie de IOCs, IPs y C&C que se pueden bloquear de forma temprana para evitar infecciones.

Además, desde Segu-Info hemos publicado una pequeña herramienta para verificar direcciones IPs involucradas con infecciones de EMOTET.

Cristian de la Redacción de Segu-Info

3 comentarios:

  1. Comparto dominios y direcciones IPs, desde donde recibimos correos relacionados con esta campaña.
    lapiramidesrl.it
    194.244.46.120
    sicurvision.it
    213.205.37.14
    comune-monserrato.it
    213.205.37.21

    ResponderBorrar
  2. Agrego ...
    yosan.com
    2.139.224.190
    afsat.af
    192.185.50.107
    aquanex.com.br
    201.76.49.114

    ResponderBorrar
  3. Comparto también los dominios y direcciones IPs, desde donde recibimos correos con esta campaña.
    [email protected]
    189.126.112.168
    [email protected]
    189.112.76.233
    [email protected]
    200.155.97.226
    [email protected]
    201.76.49.242
    [email protected]
    201.76.49.69

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!