Ciberhacktivismo, [24/1/23 12:07]
mucho cuidado, vuelve... El malware Emotet regresa con nuevas técnicas de evasión
La operación de malware Emotet ha seguido perfeccionando sus tácticas en un esfuerzo por volar bajo el radar, al tiempo que actúa como conducto para otro malware peligroso como Bumblebee e IcedID.
Emotet, que resurgió oficialmente a finales de 2021 después de una eliminación coordinada de su infraestructura por parte de las autoridades a principios de ese año, ha seguido siendo una amenaza persistente que se distribuye a través de correos electrónicos de phishing.
Atribuido a un grupo de ciberdelincuencia rastreado como TA542 (también conocido como Gold Crestwood o Mummy Spider), el virus ha evolucionado de un troyano bancario a un distribuidor de malware desde su primera aparición en 2014.
El malware como servicio (MaaS) también es modular, capaz de implementar una serie de componentes propietarios y gratuitos que pueden filtrar información confidencial de máquinas comprometidas y llevar a cabo otras actividades posteriores a la explotación.
Dos últimas adiciones al arsenal de módulos de Emotet incluyen un esparcidor SMB diseñado para facilitar el movimiento lateral utilizando una lista de nombres de usuario y contraseñas codificados, y un ladrón de tarjetas de crédito que se dirige al navegador web Chrome.
Las campañas recientes que involucran la botnet han aprovechado señuelos genéricos con accesorios armados para iniciar la cadena de ataque. Pero con las macros convirtiéndose en un método obsoleto de distribución de la carga útil y la infección inicial, los ataques se han aferrado a otros métodos para colar Emotet a las herramientas de detección de malware.
Malware Emotet
"Con la nueva ola de correos electrónicos no deseados de Emotet, el adjunto. Los archivos XLS tienen un nuevo método para engañar a los usuarios para que permitan que las macros descarguen el dropper", reveló BlackBerry en un informe publicado la semana pasada. "Además de esto, las nuevas variantes de Emotet se han movido de 32 bits a 64 bits, como otro método para evadir la detección".
El método consiste en instruir a las víctimas para que muevan los archivos de señuelo de Microsoft Excel a la carpeta predeterminada de OfficeTemplates en Windows, una ubicación en la que confía el sistema operativo para ejecutar macros maliciosas incrustadas en los documentos para entregar Emotet.
El desarrollo apunta a los constantes intentos de Emotet de reestructurarse y propagar otro malware, como Bumblebee e IcedID.
"Con su constante evolución en los últimos ocho años, Emotet ha seguido siendo más sofisticado en términos de tácticas de evasión; ha añadido módulos adicionales en un esfuerzo por propagarse aún más, y ahora está difundiendo malware a través de campañas de phishing", dijo la compañía. fuente: https://thehackernews.com/2023/01/emotet-malware-makes-comeback-with-new.html
Ciberhacktivismo, [24/1/23 12:22]
para los que no conozcais bumblebeee e icedid Emotet devuelve a los usuarios dirigidos en todo el mundo
Última tensión que propaga el malware Bumblebee e IcedID
La cepa de malware Emotet fue descubierta por primera vez por investigadores de seguridad cibernética en 2014. Inicialmente diseñado como malware bancario para robar información confidencial y privada del sistema de la víctima sin su conocimiento.
Las versiones posteriores de Emotet pueden enviar spam y ofrecer servicios de malware que descargan otras familias de malware, incluidos los troyanos bancarios y el ransomware.
La infección inicial comienza a través de un correo electrónico no deseado que contiene un archivo adjunto o enlace. Cuando el usuario intenta abrir el archivo adjunto o el enlace, descarga aún más la carga útil de Emotet en la máquina de la víctima en segundo plano. Esta campaña utiliza varios trucos de ingeniería social para atraer a los usuarios a abrir documentos maliciosos y habilitar el contenido de la macro para descargar con éxito la carga útil de Emotet.
Emotet ha evolucionado varias veces a lo largo de los años desde 2014. También ofrece Malware-as-a-Service (MaaS) a otros grupos de amenazas para implementar malware adicional, como TrickBot, Qakbot y Ransomware. Aunque se creía que el Emotet era el malware más distribuido en años anteriores, dejó de enviar spam abruptamente en julio de 2022.
El investigador de seguridad Cryptolaemus tuiteó el 2 de noviembre que el Emotet ha vuelto y comenzó a enviar spam de nuevo. Cyble Research and Intelligence Labs (CRIL) observó la reciente campaña de spam de Emotet que difunde archivos maliciosos xls, xlsm y zip protegidos por contraseña como un archivo adjunto para infectar a los usuarios. Nuestra inteligencia muestra que la reciente campaña de Emotet está muy extendida en todo el mundo, dirigida a 40 países.
La siguiente figura muestra la distribución geográfica de la actividad del spambot de Emotet durante la última semana del (3 de noviembre al 8 de noviembre de 2022).
Figura 1 - Distribución geográfica de Emotet
Detalles técnicos
El Emotet llega a los usuarios a través de un correo electrónico no deseado que contiene un archivo adjunto xls/xlsm o protegido por contraseña, como se muestra en la siguiente imagen. Estos documentos de la oficina contienen código de macro malicioso que descarga el binario Emotet real del servidor remoto.
Figura 2 - Correo electrónico no deseado
Cuando un usuario abre el documento de Microsoft Office, generalmente se abre en vista protegida para evitar que se ejecuten macros. Por lo tanto, los actores de amenazas (TA) detrás de este Emotet prueban varias técnicas de ingeniería social para atraer a los usuarios a habilitar el contenido macro.
La reciente campaña de Emotet muestra una nueva plantilla que contiene instrucciones para eludir la vista protegida de Microsoft. En esta plantilla, los TAs indican a los usuarios que copien los xls en las carpetas de confianza "Plantillas" y lo ejecuten de nuevo para ver el contenido del documento. Este truco evita la función de visualización protegida de Microsoft Office y ejecuta el código de macro malicioso oculto en el documento que descarga el malware Emotet. La siguiente figura muestra la nueva plantilla de oficina utilizada por Emotet.
Figura 3 - Nueva plantilla de MS Office utilizada por la campaña Emotet
Durante la ejecución, el archivo xls ejecuta el código de macro, descarga el archivo Emotet DLL (Dynamic Link Library) de las siguientes URL y lo lanza con "regsvr32.exe":
hxxps://designelis.com[.]br/wp-content/NNfbZZegI/
hxxp://copayucatan.com[.]mx/wp-includes/BqaJMpC3osZ0LRnKK/
hxxp://cursosweb.com[.]br/portal/6ozjR/
hxxp://db.rikaz[.]tech/lCx76IlkrBtEsqNFA7/.
Figura 4 - Emotet dll descargado del servidor C&C
El árbol de procesos demuestra la ejecución de Emotet DLL descargada de un documento malicioso "xls", como se muestra a continuación.
Ciberhacktivismo, [24/1/23 12:22]
Figura 5 - Árbol de proceso Emotet
Luego, el malware Emotet se ejecuta silenciosamente en segundo plano y se conecta al servidor de C&C para obtener más instrucciones o para instalar cargas útiles adicionales. Durante el análisis de las muestras recientes de Emotet, CRIL observó que descarga IcedID como malware de seguimiento.
IcedID
IcedID (también conocido como BokBot) es un troyano bancario modular que permite a los TA robar información de credenciales bancarias del sistema de la víctima y actuar como un gotero para otro malware adicional, como el ransomware.
Tras la ejecución del Emotet, deja caer el archivo del instalador IcedID en la siguiente ubicación:
C:\Usuarios\[nombre de usuario]\AppData\Local\ClzhGUmETtiWkpu\ICXbDzlkuFEVWX.dll
Luego, el instalador descarga un archivo binario de la URL (hxxps[:]//bayernbadabum[.]com/botpack[.]dat) y deja IcedID DLL en la siguiente ubicación.
C:\Usuarios\[nombre de usuario]\AppData\Roaming\{E32EC873-DB7B-380C-E7AC-7CA404E8C9FF}\Azki\ifocnf.dll
C:\Usuarios\[nombre de usuario]\AppData\Roaming\Loejes\Urjoe\eqamup1.dll
La siguiente figura muestra la carga útil IcedID descargada por Emotet en el sistema de la víctima.
Figura 6 - Presencia de ill IcedID en el sistema de la víctima
persistencia
Después de instalar el IcedID en el sistema de la víctima, añade los archivos DLL a la entrada del programador de tareas para su persistencia, como se muestra en la siguiente figura.
Figura 7 - Persistencia de Emotet e IcedID
Bumblebee
También se observa que Emotet descarga malware Bumblebee el 8 de noviembre de 2022. En esta campaña, el malware Emotet descarga un script de PowerShell llamado "Peurix.txt" en la carpeta Temp desde la URL (hxxp[:]//87[.] 251[.] 67[.]176/tps1[.]ps1). El archivo Powershell descargado contiene código para descargar Bumblebee DLL desde la URL (hxxp[:]//134[.] 209[.] 118[.]141/bb[.]dll) en la siguiente ubicación y ejecuta el archivo DLL usando rundll32.exe.
C:\Windows\Tasks\bb.dll
Cyble Research and Intelligence Labs (CRIL) ha monitoreado continuamente la campaña de malware Emotet después de que se enviara spam desde el 2 de noviembre e identificó la siguiente inteligencia de la reciente campaña de spam.
La siguiente figura muestra los principales nombres de archivo utilizados por la campaña de spam Emotet.
Figura 8 - Principales nombres de archivo utilizados por el spam de Emotet
La siguiente imagen muestra los tipos de archivos utilizados por el spam de Emotet.
Figura 9 - Tipos de archivos utilizados por el spam de Emotet
La siguiente imagen muestra los principales nombres de los temas utilizados por la campaña de spam de Emotet.
Figura 10 - Principales nombres de los principales temas de correo utilizados por el spam de Emotet
Conclusión
Emotet es una de las familias de malware más sofisticadas y rentables observadas activamente en los últimos ocho años, lo que afecta a los usuarios a nivel mundial. El principal vector de infección para Emotet es el correo electrónico de spam que contiene archivos adjuntos maliciosos responsables de descargar Emotet payloader, que descarga además otras cargas útiles adicionales como IcedID, Bumblebee, etc.
Como el Emotet ha vuelto después de unos meses, esperamos que la campaña entregue malware utilizando nuevos TTP en el futuro. Cyble Research and Intelligence Labs está monitoreando continuamente la actividad de la campaña de malware Emotet y mantendrán a nuestros lectores actualizados.
Nuestras recomendaciones
Hemos enumerado algunas de las mejores prácticas esenciales de ciberseguridad que crean la primera línea de control contra los atacantes. Recomendamos que nuestros lectores sigan las mejores prácticas que se mencionan a continuación:
Ciberhacktivismo, [24/1/23 12:22]
Medidas de seguridad necesarias para prevenir ataques de amenazas similares y reducir el impacto
No guardes archivos importantes en ubicaciones comunes como el escritorio, Mis documentos, etc.
Utilice contraseñas seguras y haga cumplir la autenticación multifactor siempre que sea posible.
Activa la función de actualización automática de software en tu ordenador, móvil y otros dispositivos conectados siempre que sea posible y de forma pragmática.
Utilice un reputado paquete de software antivirus y de seguridad en Internet en sus dispositivos conectados, incluidos PC, portátiles y móviles.
Abstenerse de abrir enlaces no confiables y archivos adjuntos de correo electrónico sin verificar su autenticidad.
Realice prácticas regulares de copia de seguridad y mantenga esas copias de seguridad sin conexión o en una red separada.
Técnicas MITRE ATT&CK®
Táctica Identificación de la técnica Nombre de la técnica
Acceso inicial T1566.001 Phishing: Archivo Adjunto De Spearphishing
ejecución T1204
T1059 Intérprete de comandos de ejecución y scripts del usuario
persistencia T1547.001
T1053 Ejecución de inicio de arranque o inicio de sesión: Claves de ejecución del registro / Carpeta de inicio Tarea/trabajo programado
Evasión de defensa T1497 Virtualización/Evasión de cajas de arena
Acceso a credenciales T1573
T1571
T1110.001 Fuerza bruta de puerto no estándar del canal cifrado: Adivinación de contraseñas
Descubrimiento T1087 Descubrimiento de cuentas
Comando y
control T1071
T1105 Transferencia de la herramienta de entrada del protocolo de capa de aplicación
Indicadores De Compromiso
Indicadores Tipo de indicador descripción
e5192c6239f67745e99d626cd3df8a58
b67c12c03394ca14788991fc3243c41443a2a9d8
63b2446aefa7c225eb73702926903eabbe2fe4dbd2e381
df86ed8cd3808b6046 MD5
SHA-1 SHA256 Correo electrónico no deseado
40fdab4303254fbd0ffe9a9a4917455a
0cf93b7a774b605e4350f3b92c0d2c63f84f8411
fbcedd57df5308b40cb3721027c4b2ae706377fc6364f63
88bcbc209f8f0888a MD5
SHA-1 SHA256 6096.xls
5f144bff7013b9d25527d7baaa9ac4fb
6fcd48a2708fe81419ff9becc39ef3ca5a35e134
ff9edd81d641b7d1d6175007e20e123e7f3222201e3fc30
47d4fb3a232ab0683 MD5
SHA-1 SHA256 Emotet DLL
(ObpgVIuUvWX.dll)
2d5ed2b25105753b8dfbc68e38718f2d
7c1160e74747648485a2e3af179d060d7c4a33c4
59e3813b05edcb779baa462791f1a3383498bd0a6bc95
993e6bd0c8e4ce0e059 MD5
SHA-1 SHA256 IcedID DLL (
eqamup1.dll)
878e2105d4f1dd5e8957f7183e1c9c62
adfd3cde25019526083e091f546a26a2eb033ecc
861562690b5b005b733baebdbbfa39d8dbed512233723
046d8f59e15bc1b091a MD5
SHA-1 SHA256 IcedID DLL (ifocnf.dll)
hxxps://designelis.com[.]br/wp-content/NNfbZZegI/
hxxp://copayucatan.com[.]mx/wp-
incluye/BqaJMpC3osZ0LRnKK/
hxxp://cursosweb.com[.]br/portal/6ozjR/
hxxp://db.rikaz[.]tech/lCx76IlkrBtEsqNFA7/ URL Carga útil de la DLL de Emotet
hxxps[:]//bayernbadabum[.]com/botpack[.]dat URL IcedID binario
hxxp[:]//87[.] 251[.] 67[.]176/tps1[.]ps1 URL Descargador de abejorro
hxxp[:]//134[.] 209[.] 118[.]141/bb[.]dll URL Bumblebee DLL
45[.] 235[.] 8[.] 30:8080
94[.] 23[.] 45[.] 86:4143
119[.] 59[.] 103[.] 152:8080
169[.] 60[.] 181[.] 70:8080
164[.] 68[.] 99[.] 3:8080
172[.] 105[.] 226[.] 75:8080
107[.] 170[.] 39[.] 149:8080
206[.] 189[.] 28[.] 199:8080
1[.] 234[.] 2[.] 232:8080
188[.] 44[.] 20[.] 25:443
186[.] 194[.] 240[.] 217:443
103[.] 43[.] 75[.] 120:443
149[.] 28[.] 143[.] 92:443
159[.] 89[.] 202[.] 34:443
209[.] 97[.] 163[.] 214:443
183[.] 111[.] 227[.] 137:8080
129[.] 232[.] 188[.] 93:443
139[.] 59[.] 126[.] 41:443
110[.] 232[.] 117[.] 186:8080
139[.] 59[.] 56[.] 73:8080 IP: Puerto Configuración de Emotet C&C
fuente: https://thehackernews.com/2023/01/emotet-malware-makes-comeback-with-new.html