Troyano Emotet muy activo en América Latina
Los hackers de sombrero negro detrás del troyano EMOTET lanzaron nueva campaña de spam a gran escala en América Latina, con correos en español y utilizando técnicas Fileless que invocan comandos CMD y POWERSHELL.
EMOTET es una familia de troyanos bancarios conocida por su arquitectura modular, técnica de persistencia, uso de técnicas Fileless y autopropagación similar a la de los gusanos. Es distribuido a través de campañas de spam utilizando una variedad de técnicas para hacer pasar por legítimos sus adjuntos maliciosos. El troyano es frecuentemente utilizado como un downloader o como un dropper para payloads secundarios potencialmente más dañinos. Debido a su alto potencial destructivo, EMOTET fue objeto de un comunicado por parte del CERT de Estados Unidos en julio de 2018.
Análisis
En esta campaña de febrero de 2019, EMOTET hace uso de adjuntos maliciosos en Word que se presentan como facturas, notificaciones de pago, alertas de cuentas bancarias, etc, y que simulan ser de organizaciones legítimas.
El compromiso de la víctima comienza al abrir un documento de Word (a veces un PDF) malicioso que viene como adjunto en un correo spam que aparenta ser de una organización legítima y conocida. Siguiendo las instrucciones en el documento, la víctima habilita los macros en Word o hace clic en el enlace dentro del PDF.
Paso seguido, el payload de EMOTET es instalado y ejecutado, establece persistencia en la computadora, y reporta que el compromiso se realizó de manera exitosa a su servidor C&C. Inmediatamente después, recibe instrucciones acerca de qué módulos de ataque y payloads secundarios debe descargar.
Los módulos extienden las funcionalidades de los payloads iniciales con las siguientes capacidades: robo de credenciales, propagación en la red, recopilación de información sensible, reenvío de puertos, entre otras más.
El aspecto más importante y que puede llevar fácilmente a la confusión de quién recibe la información, es que el correo es enviado (aparentemente) por una “persona” que es un contacto conocido de la víctima, e incluso está firmado por esta misma “persona” con la dirección que normalmente utiliza. Es decir, el usuario recibe entonces un correo electrónico con spoofing de un conocido y con información comercialmente coherente.
En un seguimiento particular realizado durante febrero en Argentina, se envió una cadena de 5 correos que partieron desde una Factura Disponible, pasando por una Tarifa Especial, un Procedimiento de Pago, una Confirmación de Pago y terminando con el último correo donde el usuario recibe el Recibo de Pago correspondiente. Cada uno de estos correos incluye un documento adjunto .DOC.
Aún así, se siguen distinguiendo errores gramaticales en la redacción de estos correos, productos de una mala traducción literal respecto al contenido de origen, pero como muestran los ejemplos anteriores, cada vez se requiere de más concentración para no caer en el engaño.
El adjunto contiene una macro altamente ofuscada, como la siguiente:
Aquí puede verse el llamado a una shell que posteriormente se traducirá en el llamado a una sentencia ofuscada de PowerShell y/o cmd.
Ejemplos de análisis:
https://www.hybrid-analysis.com/sample/3adcc0255f1bf651c0c060237b2784e33c47e3a4839f6d194f0ee5f35396816e?environmentId=100
En estos análisis se puede ver como se invoca a las sentencias Fileless, la conexión a diferentes sitios y la descarga de los payloads. Los archivos EXE descargados finalmente terminan realizando la infección de la víctima y la conformación de la botnet que envía spam y continúa la campaña de infección.
Remitentes falsificados, SPF, DKIM y DMARC, eludidos
Otro aspecto de EMOTET es que los atacantes están usando técnicas para falsificar los dominios de remitente para que los correos con la carga maliciosa sean más creíbles. En particular las protecciones SPF, DKIM y DMARC aparentemente no están siendo efectivas y esto desorienta a los encargados de la seguridad de los dominios que son falsificados.