EMOTET, la botnet y amenaza global que ya llego a Chile y Latinoamerica

#EMOTET, la botnet de distribución de troyanos bancarios más importante del mundo ya se encuentra apuntando a Chile y Latinoamerica con campañas masivas de Phishing y documentos adjuntos de tipo Microsoft Word principalmente. En este articulo todas las referencias sobre esta nueva amenaza:

La amenaza: Paso de ser un troyano bancario a un completo framework de distribución de amenazas

Las variante actual posee módulos de:

  • Banking Trojan
  • Network password scraper
  • Browser password scraper
  • Email account scraper
  • Credential enumerator
  • DDoS Attack
  • PowerShell Payload Obfuscator

Además, tiene la capacidad de auto propagarse una vez que ingresa a la red mediante ataques de fuerza bruta y es capaz de capturar cuentas de correo SMTP válidas y enviar esa información a sus SPAMBOT para generar nuevos ataques de ingeniería social.

Más información: https://www.symantec.com/blogs/threat-intelligence/evolution-emotet-trojan-distributor

La noticia (07–11–2018): Un foco de más de cien detecciones del virus informático Emotet, un código malicioso “muy peligroso” que ha robado miles de credenciales bancarias durante los últimos años en Europa, fue detectado la noche de este martes en Costa Rica, informó hoy la firma de ciberseguridad ESET. Fuente: https://noticiassin.com/detectan-foco-del-virus-informatico-bancario-emotet-en-latinoamerica/

Vector de ataque e infección: Utiliza Phishing y Spear Phishing con técnicas de ingeniería social para iniciar la infección. Al obtener una credencial de correo válida para una organización es capaz de propagarse a los contactos de la cuenta.

Utiliza principalmente vulnerabilidades de Microsoft Office para ejecutar código en la máquina y hacer las descargas de sus componentes, se vale de CVE’s como:

  • CVE-2014–1761
  • CVE-2017–0199
  • CVE-2017–0199
  • CVE-2018–8430
  • CVE-2018–0792

Samples (Sandbox):

IOC’s (Indicadores de Compromiso):

##############################

#EMOTET IOC’s LATAM

1ZRR4H, 14–11–2018, Chile.

##############################

Expresión regular de bloqueo para AntiSpam & Webfilter:

- Email Subject: ^(factura|invoice|recibo|payment)?(.*)?(([a-zA-Z0–9]{8,10}))+/gmi

- Dropper Document ^(facture|fa|fact|factura|inv|invoice|recibo|boleta|untitled|nuevo)?([_\-\.]+)+(num|nro|no|inv|documento|acuerdo)?([_\-\.]?)(\w{7,10})?(\.)+(doc|pdf)+

Patrón User-Agent de comunicación al C&C:

- User-agent: mozilla/4.0 (compatible; msie 7.0; windows nt 6.1; wow64; trident/7.0; slcc2; .net clr 2.0.50727; .net clr 3.5.30729; .net clr 3.0.30729; infopath.3; .net4.0c; .net4.0e)

Recopilación de IOC’s actualizados por Malware Researchs:

https://pastebin.com/Vx2z799s (actualizados al 12–11–2018)

https://www.welivesecurity.com/2018/11/09/emotet-launches-major-new-spam-campaign/ al final de la página (actualizados al 09–11–2018)

https://pastebin.com/y5rXPpk6 (actualizados al 08–11–2018)

https://precisionsec.com/threat-intelligence-feeds/emotet/

https://otx.alienvault.com/pulse/5a7e17be6e129a2cdeb7c7c8/

https://otx.alienvault.com/pulse/5b7b02c0be535f34ee30a074

Desofuscando Powershell Payload’s:

En el siguiente link se puede entender como desofuscar los payload’s de powershell de Emotet y sus distintos métodos (String Replace, String Compression y ASCII Array) https://malfind.com/index.php/2018/07/23/deobfuscating-emotets-powershell-payload/

Tool: https://github.com/lasq88/deobfuscate/

También se puede ocupar esta herramienta online: https://gchq.github.io/CyberChef/ con los parámetros (recipe) como se ve en la imagen: http://security5magics.blogspot.com/2018/07/july-emotet-encoded-powershell-observed.html

Recomendaciones de Seguridad:

Para protegerse contra el malware que explota vulnerabilidades de Microsoft en general:

  • Manténga su suite de MS Office al día con todos los parches de seguridad liberados a la fecha por el fabricante.
  • Si es posible, sustituya los sistemas operativos Windows antiguos por las versiones más recientes.

Otros consejos:

  • Si recibe un documento de Word por correo electrónico y no conoce a la persona que lo envió, no lo abra.
  • Bloquear macros en documentos de Office.
  • Bloquee el intercambio de archivos a través de la red.
  • Asegúrese de que los usuarios no tengan acceso de administrador predeterminado.
  • Aplicar las mejores prácticas de contraseña.
  • Utilice un antivirus con un escáner de acceso (también conocido como protección en tiempo real).
  • Considere una configuración más estricta de la pasarela de correo electrónico .
  • Nunca apague las funciones de seguridad porque un correo electrónico o un documento lo dice.
  • Sigan a las cuentas en Twitter: https://twitter.com/pollo290987 y https://twitter.com/MalwareTechLab

Esta información se irá actualizando a medida que avance la contingencia y se tengan más antecedentes.

Saludos a todos.
www.cronup.com