Emotet en archivos adjuntos cifrados – Una creciente ciberamenaza

Emotet en archivos adjuntos cifrados – Una creciente ciberamenaza

Los ciberdelincuentes, que están detrás del troyano bancario Emotet, usan diversos trucos para burlar los filtros antivirus y propagar el malware a aún más sistemas. Estos trucos van: desde el secuestro de hilo de correos, a los cambios en Webshells, hasta la actualización del cargador de Emotet, lo que llevó a un gran aumento de las descargas de malware. Ahora Emotet está enviando de nuevo archivos adjuntos cifrados a través de su malspam (malware + spam) para expandir aún más su red de botnets.

Desde septiembre, el Security Lab de Hornetsecurity ha observado un aumento significativo en el malware de Emotet, que nuevamente envía archivos cifrados. La contraseña para descifrar el archivo, se incluye como texto plano en la carta de presentación del correo electrónico. Al cifrar el archivo adjunto, los programas antivirus convencionales no son capaces de detectar y bloquear el malware oculto. Sin embargo, la víctima puede descifrar, abrir y ejecutar el archivo, lo que eventualmente recarga el malware.

Ejemplo de archivo adjunto cifrado
Ejemplo de archivo adjunto cifrado

Pero este método no es nuevo: ya en abril de 2019, los analistas de seguridad descubrieron las primeras oleadas del malspam de Emotet, usando archivos zip cifrados. Desde entonces, tales olas de spam han ido apareciendo de vez en cuando a lo largo del año y duran unos pocos días. El grupo de white hats «Cryptolaemus» llama a esta acción de los actores detrás de Emotet operación: «Zip Lock». El equipo de más de 20 investigadores de seguridad y administradores de sistemas se ha fijado el objetivo de frenar la propagación del «malware más peligroso del mundo». Cada día, el grupo publica todas las actualizaciones de Emotet en su página web y en su cuenta de Twitter. Su objetivo es permitir que, los administradores de sistemas y redes, introduzcan en sus filtros de seguridad los llamados: Indicadores de Compromiso (IOCs), las direcciones IP de los servidores de comando de Emotet, las líneas de asunto y los hashes de archivos infectados por Emotet, para protegerse de posibles infecciones por Emotet.

La actual ola de malspam con archivos cifrados ha estado activa desde al menos el 1 de septiembre y fue dirigida por primera vez al mundo de habla japonesa.

Bsp Email JP Emotet

Finalmente, el Security Lab de Hornetsecurity registró olas de spam en español, inglés y alemán a partir del 14 de septiembre.

Distribución de Malspam Emotet en todo el mundo HSE

Para aumentar aún más las posibilidades de que su víctima abra realmente el correo electrónico malicioso, y active el archivo adjunto una vez llegue a su bandeja de entrada, los ciberdelincuentes también utilizan la técnica de «secuestro de hilo de conversación de correo electrónico». Al hacerlo, se utilizan los hilos de conversación del correo electrónico de la víctima para parecer más «auténticos». Es entonces, cuando los atacantes responden a las conversaciones existentes que su objetivo todavía tiene almacenadas en el buzón.

Una tendencia popular de la ciberdelincuencia

En general, el método de ciberataque  por correo electrónico –  con archivos adjuntos codificados – es bastante popular entre los grupos de ciberdelincuentes. Los analistas de seguridad de Hornetsecurity descubrieron documentos de Office cifrados en las campañas de malware de GandCrab, y el malware Ursnif también se está propagando a través de archivos zip cifrados.

Bsp Email GandCrab

¿Cómo puedo protegerme de esto?

Los archivos cifrados de Emotet, aún no son detectados por los programas antivirus convencionales, como demuestra el servicio de escaneo de malware VirusTotal.

VirusTotal Emotet detección de cero de los adjuntos

La técnica del secuestro de hilos de conversaciones de correo electrónico también contribuye al «éxito» de los ciberdelincuentes, pues es casi imposible que los destinatarios detecten ese tipo de ciberataque, ya que los correos electrónicos maliciosos se envían desde una cuenta legítima pero comprometida.

Sin embargo, filtros más avanzados y mecanismos de seguridad inteligentes son capaces de detectar ambas técnicas de ciberataque y mantenerlas alejadas del buzón del destinatario. Las acciones de los ciberdelincuentes que están detrás de Emotet, dejan claro que es hora de que las empresas den el siguiente paso en temas de ciberseguridad. Después de todo, los ciberataques exitosos continúan impulsando las ambiciones de los hackers y traen más cibercriminales a escena.

Más información:

  • Hornetsecuritys Advanced Threat Protection puede analizar e identificar estos archivos adjuntos encriptados gracias a la función de desencriptación de documentos maliciosos.
Secuestro de hilos de correo

Secuestro de hilos de correo

Resumen

Abrir archivos adjuntos y enlaces únicamente de remitentes conocidos es una recomendación habitual para prevenir ataques de malware y suplantación de identidad perpetrados mediante correo electrónico. Sin embargo, en este artículo describimos una técnica de ataque denominada «secuestro de hilos de correo» que explota hilos de correo previos de las víctimas y, de este modo, relaciones de confianza con las mismas para propagarse. En estos casos, el consejo mencionado ya no sirve. Aquí explicaremos el modo en que los atacantes se sirven del secuestro de hilos de correo y cómo éste incrementa de modo dramático la probabilidad de que las víctimas abran enlaces o archivos adjuntos maliciosos.

 

Detalles

Los ciberdelincuentes intentan incitar a las víctimas a abrir enlaces o archivos adjuntos maliciosos. Con este propósito, a menudo se valen de correos que imitan la apariencia de correos lícitos, tales como facturas. Sin embargo, si la víctima no es cliente de una empresa o servicio concreto, probablemente no le dé por abrir supuestas facturas de dichas empresas o servicios, especialmente sabiendo que se trata de la táctica más habitual empleada por los delincuentes para incitar a las víctimas a ejecutar su malware. Por tanto, los delincuentes suelen recurrir a acontecimientos especiales para despertar el interés de las víctimas por abrir sus enlaces o archivos adjuntos maliciosos. Ejemplos de tales acontecimientos son la Navidad, el Black Friday, Halloween o el día de San Valentín, así como, actualmente, la pandemia de COVID-19. Sin embargo, a menudo los usuarios también conocen estas estrategias y no abren ningún enlace o archivo adjunto malicioso, especialmente cuando aparecen de la nada y sin ningún contexto.

Por tanto, cada vez hay más atacantes que recurren a una técnica llamada «secuestro de hilos de correo». Con esta técnica, los atacantes se valen de hilos de correo de sus víctimas para propagarse hacia otras víctimas. Antiguamente, los atacantes se limitaban a emplear las direcciones de correo contenidas en las agendas de sus víctimas. El secuestro de hilos de correo también emplea hilos de correo antiguos de la víctima para encontrar nuevas víctimas. Con este fin, los atacantes responden a conversaciones que la víctima tiene en su buzón de correo.

 

¿Cómo funciona el secuestro de hilos de correo?

En el secuestro de hilos de correo, el ataque comienza contagiando a una primera víctima. A continuación, se roban sus correos y, a menudo, también sus datos de acceso a la cuenta de correo. Seguidamente, los atacantes responden a los correos de la víctima con sus mensajes maliciosos.

En el siguiente ejemplo, el campo «From» del correo contiene la dirección de la víctima. El campo «To» contiene la dirección de correo del usuario atacado, con el cual la víctima mantuvo previamente una comunicación por correo electrónico. El campo «Subject» contiene el asunto original del hilo de correo precedido por «Re: «. La cita bajo el mensaje contiene toda la conversación entre las dos partes.

Ejemplo de secuestro de hilos de correo

Los buenos atacantes también adaptan el idioma de la respuesta al empleado en el hilo de correo secuestrado. Así, por ejemplo, el siguiente ejemplo emplea una respuesta en alemán:

Ejemplo de secuestro de hilos de correo

Mientras que, en los ejemplos anteriores, la respuesta maliciosa contenía un enlace malicioso, estos correos también pueden valerse de archivos adjuntos maliciosos:

Ejemplo de secuestro de hilos de correo

 

¿Cómo de eficaz es el secuestro de hilos de correo?

Para ilustrar lo eficaz que es el secuestro de hilos de correo, hemos recreado una comunicación por correo electrónico que observamos durante una inspección rutinaria de falsos positivos:

Ejemplo de secuestro de hilos de correo

En este ejemplo, los atacantes comprometieron la cuenta de correo de Joe Schmoe y respondieron desde ella a un correo que Joe había recibido previamente de Alice. En su respuesta incluyeron un enlace malicioso (ABRE EL ENLACE) y algo de texto genérico. Alice sacó el correo de la cuarentena para abrir el enlace malicioso, pero su navegador la salvó de infectarse. Después escribió a la cuenta de correo comprometida de Joe para decir que no podía abrir «el archivo», y que necesitaría que se lo enviara en otro formato. A continuación, los atacantes enviaron a Alice otro enlace malicioso. Aunque estamos convencidos de que el hecho de que los atacantes volviesen a secuestrar un hilo de correo secuestrado previamente fue una coincidencia, este ejemplo demuestra lo eficaz que puede resultar el secuestro de hilos de correo.

Por suerte, (por ahora) no hay ningún atacante que adapte sus correos en función del hilo secuestrado. Sin embargo, como los delincuentes disponen de herramientas de secuestro de hilos de correo altamente automatizadas, la probabilidad de que los hilos secuestrados impliquen el intercambio de documentos en ambas direcciones es elevada. E incluso si tal cosa no ocurre, ¿quién no iba alguien a abrir un documento enviado por un contacto conocido dentro de un hilo de correo previo?

 

¿Quién emplea el secuestro de hilos de correo?

El número de delincuentes que emplean ataques de secuestro de hilos de correo sigue aumentando. Aunque la primera vez que se observó, en mayo de 2017, formaba parte de una campaña limitada de spear phishing, muchos ciberdelincuentes generalistas adoptaron la técnica en 2018.

En 2019, también Emotet adoptó el secuestro de hilos de correo. Con este propósito, añadieron un módulo de robo de correos. El módulo roba correos y datos de acceso de las víctimas y los envía a los servidores de control de Emotet, desde los cuales se distribuyen a los sistemas de otras víctimas infectados con el módulo de spam de Emotet, donde se emplean para atacar a nuevas víctimas. Recientemente, Emotet ha ampliado su secuestro de hilos de correo sustrayendo archivos adjuntos a sus víctimas y colocando su archivo malicioso entre archivos adjuntos benignos robados para que los correos parezcan aún más legítimos.

QakBot también se distribuye frecuentemente a través de respuestas a hilos de correo previos. En 2020, el malware Valek empezó también a distribuirse mediante secuestro de hilos de correo.

Hornetsecurity ha observado un aumento en las cuentas comprometidas empleadas para enviar correos maliciosos. Aunque (por ahora) no se emplea el secuestro de hilos de correo, sino que simplemente se utilizan las cuentas de correo de las víctimas para enviar correos, teniendo acceso a dichas cuentas es muy sencillo perpetrar ataques de secuestro de hilos de correo: basta con que el delincuente responda a correos recibidos por sus víctimas. Por tanto, estamos convencidos de que la tendencia a los ataques mediante secuestro de hilos de correo va a continuar. Así, los usuarios ya no van a poder fiarse de remitentes de confianza a la hora de decidir si es seguro o no abrir un archivo adjunto o hacer clic en un enlace.

 

Conclusión y soluciones

La recomendación de abrir únicamente archivos adjuntos o enlaces de correos electrónicos de remitentes conocidos está obsoleta. Con el secuestro de hilos de correo, incluso los ciberdelincuentes generalistas pueden automatizar correos altamente sofisticados y eficaces para cometer spear phishing. A menudo, las víctimas no saben que están infectadas. En tales casos es importante informar a las víctimas de que están distribuyendo contenido malicioso por correo electrónico para que puedan tomar medidas contra la infección. La medida más urgente sería cambiar los datos de acceso a la cuenta de correo. Otros pasos consistirían en determinar cómo obtuvieron los atacantes acceso a la cuenta de correo en primer lugar para evitar que tales incidentes se repitan en el futuro.

A los seres humanos les resulta muy difícil, si no imposible, detectar el secuestro de hilos de correo, ya que, al enviarse a través de cuentas de correo legítimas aunque comprometidas, y dejando aparte el estilo de escritura, los correos son indistinguibles de correos legítimos reales. Sin embargo, los filtros de correo que inspeccionan los archivos adjuntos o enlaces en correos pueden detectar contenidos maliciosos a pesar de eso.

Spam and Malware Protection de Hornetsecurity, con las tasas de detección más elevadas del mercado, detecta y pone en cuarentena las amenazas independientemente de si se emplean ataques de secuestro de hilos de correo o no. Advanced Threat Protection de Hornetsecurity tampoco se ve afectado por el secuestro de hilos de correo, e inspecciona los contenidos de cada correo independientemente de si se han enviado desde una cuenta comprometida. Los filtros de malware, phishing y ATP de Hornetsecurity tienen preferencia sobre las listas blancas de remitentes. De este modo, los clientes de Hornetsecurity estarán protegidos incluso si un remitente en una lista blanca se ve comprometido y su cuenta de correo se emplea para enviar correos maliciosos.

Emotet: ahora más sigiloso

Emotet: ahora más sigiloso

Resumen

El Security Lab de Hornetsecurity ha observado un incremento del 1000% en las descargas del cargador de Emotet. El aumento en las descargas del cargador de Emotet está relacionado con un cambio de compresor que provoca que el cargador sea detectado con menor frecuencia por los antivirus. Los datos que hemos recopilado apuntan a que el aumento en las descargas de Emotet se debe al hecho de que éste se detecta con menor frecuencia. Esto reduce la probabilidad de que los mecanismos de seguridad bloqueen sus URLs de descarga. Nuestros datos, sin embargo, también indican que los proveedores de antivirus ya están resolviendo el problema de detección, por lo que la tasa de detección del cargador de Emotet debería aumentar y el número de descargas debería reducirse. Este análisis muestra el efecto causado por los cambios en el compresor del cargador de Emotet.

Detalles

El malware conocido actualmente como Emotet se observó por primera vez en 2014. Por aquel entonces se trataba de un troyano bancario que sustraía datos bancarios y de acceso de sus víctimas. Sin embargo, más adelante, se transformó en una operación de malware como servicio (MaaS, por sus siglas en inglés) que provee servicios de distribución de malware a otros ciberdelincuentes.

Ya hemos escrito sobre Emotet en varias entradas anteriores. Los últimos acontecimientos pueden verse en la siguiente cronología:

Cronología de sucesos de Emotet

El 18 de agosto de 2020 se observaron cambios en el cargador de Emotet. El cargador de Emotet se comprime ahora con otro compresor. Varios investigadores han observado que este cambio de compresor ha provocado una menor tasa de detección del cargador de Emotet por parte de antivirus1. El cargador sin comprimir también se ha actualizado, pero dichas actualizaciones no han afectado mucho a sus descargas. Los cambios realizados el 7 de agosto de 2020 para resolver un desbordamiento de búfer empleado por una «vacuna» contra Emotet denominada EmoCrash no afectaron a las estadísticas de descarga de Emotet presentadas, ya que la «vacuna» solo actúa una vez descargado el cargador de Emotet.

Análisis técnico

Recopilamos estadísticas de descargas de las URLs de descarga de Emotet mediante los métodos descritos en nuestro artículo anterior sobre las webshells de Emotet2. Para quien no haya leído el artículo anterior, recordamos que el código de PHP empleado por Emotet para posibilitar sus descargas deja al descubierto un archivo JSON que indica el número de descargas de cargas útiles de Emotet en un dominio concreto. No hemos modificado ni nuestros métodos de adquisición ni nuestros métodos de análisis respecto al artículo anterior para garantizar que nuestros resultados sean directamente comparables y que los cambios observados puedan atribuirse a la operación de distribución de Emotet y a anomalías estadísticas provocadas por cambios metodológicos.

Hay dos tipos de URLs de descarga de Emotet: las que descargan un documento malicioso de Emotet y las que descargan el cargador de Emotet. Los documentos maliciosos de Emotet, que también pueden enviarse por correo electrónico, contienen URLs desde las cuales el código de macro de VBA descarga el cargador de Emotet, el malware que se instala en el ordenador de la víctima en sí.

En nuestros anteriores análisis, las URLs de descarga correspondientes al cargador de Emotet eran el 15%. Actualmente ascienden al 20%. Esto se debe a que los documentos maliciosos de Emotet ahora emplean 6 o incluso 7 URLs de descarga del cargador de Emotet, en lugar de las típicas 5, como puede verse en esta orden de PowerShell descodificada emitida por un documento malicioso reciente:

Emotet empleando 6 URLs de descarga

Sin embargo, la cantidad de descargas del cargador de Emotet que hemos podido recopilar de sitios web infectados mediante la página oculta de estadísticas de Emotet han aumentado un significativo 5%.

Las estadísticas de descarga del 29 de julio de 2020 indicaban que el cargador de Emotet se descargó a un ritmo medio de aproximadamente 2500 veces por hora. El siguiente gráfico muestra la proporción entre descargas de cargador y de documentos maliciosos, así como el volumen de las mismas a 29 de julio de 2020:

Estadísticas de descarga de Emotet antiguas

Dos días tras el cambio de compresor, el 19 de agosto de 2020, las estadísticas de descarga de Emotet indican que el cargador de Emotet se descargó a un ritmo medio de 25000 veces por hora, lo que supone un aumento del 1000%. El siguiente gráfico muestra la proporción entre descargas de cargadores y documentos maliciosos de Emotet, así como el volumen de las mismas a 19 de agosto de 2020:

Estadísticas de descarga de Emotet nuevas

Atribuimos este incremento a los recientes cambios realizados en el compresor de Emotet. Por ahora, los antivirus no detectan demasiado bien el nuevo paquete comprimido. Así, por ejemplo, la mayoría de URLs de descarga nuevas del paquete de Emotet pasó desapercibida para todos los antivirus de la lista de VirusTotal:

URL de descarga del cargador de Emotet no detectada en VirusTotal

URL de descarga del cargador de Emotet no detectada en VirusTotal

Aunque los resultados de VirusTotal no son representativos para la detección dinámica real de Emotet mediante programas antivirus, la reducción en la tasa de detección, especialmente en lo que respecta a las URLs de descarga del cargador de Emotet, indica claramente que el compresor de Emotet realmente la redujo. Como muchas de las URLs de descarga del cargador de Emotet solían etiquetarse inmediatamente como maliciosas, muchos productos de seguridad eran capaces de bloquear descargas por parte de víctimas potenciales, lo que provocaba un bajo total de descargas del cargador de Emotet.

El 20 de agosto de 2020, las descargas del cargador de Emotet descendieron a 7500 por hora, lo que supone una reducción del 70 % respecto al 19 de agosto:

Estadísticas de descarga tras mejora en detección de Emotet

Esto probablemente se deba a que los proveedores de antivirus hayan incrementado la detección del nuevo paquete comprimido de Emotet: al menos, las detecciones de VirusTotal de las URLs de descarga del nuevo cargador de Emotet comienzan a ser detectadas de nuevo por los antivirus:

URLs de descarga del cargador de Emotet detectadas de nuevo en VirusTotal

Esto apoya nuestra hipótesis de que el aumento en el número de descargas del cargador de Emotet se debe al nuevo compresor de Emotet y, en menor medida, al aumento de URLs de descarga del cargador de Emotet incluidas en los documentos maliciosos de Emotet.

Conclusión y soluciones

Nuestro análisis muestra el impacto causado por los cambios en el compresor de Emotet. Hemos observado un incremento del 1000 % en las descargas del cargador de Emotet, estrechamente relacionado con las detecciones realizadas por proveedores de software antivirus.

Para proteger frente a Emotet, la US CERT recomienda «implementar filtros en la puerta de enlace de correo con indicadores de spam malicioso conocidos»3.

Spam and Malware Protection de Hornetsecurity, con las tasas de detección más elevadas del mercado, no se ve afectado por las actualizaciones del cargador de Emotet (ya que éste nunca se envía directamente a través de correos electrónicos) y, por tanto, seguirá bloqueando todos los indicadores de spam malicioso de Emotet, tales como los documentos con macros empleados para la infección, así como URLs de descarga de Emotet conocidas. Advanced Threat Protection de Hornetsecurity amplía esta protección detectando también enlaces maliciosos aún desconocidos, que descarga de modo dinámico para luego ejecutar el contenido potencialmente malicioso en el entorno vigilado de una sandbox. Esto significa que, incluso si los cambios en el cargador de Emotet vienen acompañados de un cambio en las tácticas de distribución, Hornetsecurity estará preparada.

Aparte de bloquear los correos entrantes de Emotet, los defensores deberían valerse de la información de libre acceso proporcionada por el equipo Cryptolaemus, un grupo de voluntarios formado por especialistas en seguridad informática con el objetivo de combatir contra Emotet. Publican información nueva diariamente en su página web4. Allí podrá obtener la lista de IPs de servidores de C&C para encontrar y/o bloquear tráfico de control. Para recibir actualizaciones en tiempo real, puede seguirlos en su cuenta de Twitter5.

Referencias

«Firefox Send» envía el malware Ursnif

«Firefox Send» envía el malware Ursnif

Resumen

El 07.07.2020 Mozilla desactivó temporalmente su servicio de envío de Firefox debido a un abuso de malware. El Security Lab de Hornetsecurity explica cómo el malware abusó de Firefox Send. Para ello, analizaremos una campaña de malware que difunde una variante del malware Ursnif. La campaña utilizó el servicio de envío de Firefox para alojar su descargador malicioso y enviar estos enlaces maliciosos de Firefox a las víctimas. Tal abuso hizo que Mozilla desactivara el servicio de envío de Firefox, ya que el servicio carece actualmente de una función de denuncia. Esto significa que, aunque los investigadores de seguridad encontraran estos enlaces maliciosos, no se podría informar a Mozilla para desactivarlos. Sin embargo, nuestro análisis muestra además que el malware ya está abusando de otros servicios, por lo que la desactivación de Firefox Send  – aunque fue la decisión correcta – no tiene ningún efecto en las campañas de malware.

Antecedentes

El 07.07.2020 Mozilla desactivó temporalmente su servicio de envío de Firefox debido a un abuso de malware. Esto se debió principalmente a que el servicio no ofrece una forma de denunciar dichos abusos. Es probable que Mozilla reactive el servicio una vez que se complete el «trabajo de mejora del producto», como se indica en el mensaje que aparece actualmente al intentar acceder al sitio web de Firefox Send:

Firefox Send temporarily disabled

Para explicar por qué Mozilla deshabilitó temporalmente su servicio de envío de Firefox, el Security Lab de Hornetsecurity analizará una campaña de malware que distribuye una variante del malware Ursnif.

Análisis

La campaña utiliza una mezcla de malspam en un enlace y adjunto distribuyendo un archivo VBScript que descarga el malware Ursnif. La campaña aprovecha el secuestro de hilos de conversaciones de correo electrónico, es decir, los actores detrás del ataque enviarán su malware como respuesta a las conversaciones de correo electrónico existentes de sus víctimas. Un ejemplo de correo electrónico que utiliza el servicio de envío de Firefox para alojar la carga dañina tiene el siguiente aspecto:
 

Initial email leveraging email conversation thread hijacking

Las partes redactadas contienen un hilo de conversación de correo electrónico robado al que la campaña responde con su enlace malicioso y un mensaje corto. Los mensajes suelen decir que un documento ha sido actualizado y puede ser descargado desde el enlace de envío de Firefox. El grado en que el mensaje malicioso, encaja en el hilo de conversación del correo electrónico secuestrado, parece depender del azar, es decir, el mensaje hará referencia a los documentos actualizados independientemente de la finalidad del hilo de conversación.
 
El enlace de envío de Firefox llevará a un archivo VBScript. El archivo VBScript descarga una variante de Ursnif, probablemente desarrollada a partir de otra variante de Ursnif llamada ISFB para la cual el código fuente está disponible públicamente.
 

El  07-07-2020 Mozilla decidió desactivar temporalmente el envío de Firefox, porque el servicio no cuenta con un mecanismo para reportar el abuso. Esto significa que los enlaces de descarga no pueden ser reportados a Mozilla por los investigadores de seguridad. Es importante disponer de una función de denuncia de abusos para un servicio en línea, especialmente porque la naturaleza centrada en la privacidad de Firefox Send ofrece muchas oportunidades de abuso. Por ejemplo, los enlaces pueden estar protegidos por una contraseña. Se puede restringir el número de descargas, así como el tiempo que éstas estarán disponibles:

Firefox Send privacy restrictions

Esto significa que un atacante puede limitar la cantidad de descargas a una para sus víctimas. En caso de un compromiso exitoso, un equipo de respuesta a incidentes no puede descargar más la carga original de malware para reconstruir la infección. Si el malware borra sus archivos después de la infección será difícil de rastrear tal ciberataque.
 
 
Otro problema surge para el uso legítimo del servicio y el software de seguridad que escanea tales enlaces de descarga de una sola vez. Si el software de seguridad descarga el archivo para escanearlo, el destinatario real no podrá descargar más el archivo, ya que el software de seguridad ya ha utilizado la única descarga disponible.
 
 
Por estas razones, es muy probable que el servicio de envío de Firefox siga siendo abusado una vez que regrese. La función de denuncia de abusos será útil principalmente para denunciar los enlaces que permiten realizar múltiples descargas y que se utilizan durante un período de tiempo más largo. Informar sobre los enlaces de descargas únicas podría ayudar a Mozilla a frenar el abuso, detectando patrones en la forma en que los actores que están detrás del abuso interactúan con su servicio y luego los bloquean.
 
Pero incluso si el servicio de envío de Firefox debería implementar mejores protecciones contra el abuso, la discutida campaña de malspam no depende en absoluto del servicio de envío de Firefox. La campaña utilizó el servicio de envío de Firefox a partir del 06-01-2020 (transición del uso de enlaces de Google Drive) hasta el día en que fue desactivado:

Ursnif malspam campaign using Firefox Send exclusively over extended period of time

Sin embargo, la campaña ha utilizado los enlaces de Google Drive y Dropbox antes de utilizar los enlaces de Firefox Send. También ha utilizado archivos adjuntos ZIP cifrados en lugar de enlaces de descarga y tan pronto como se desactivó el servicio de envío de Firefox se cambió a este esquema de archivos adjuntos ZIP cifrados:

Initial email using encrypted ZIP attachment

Tanto Google Drive como Dropbox permiten informar de abusos, sin embargo, siguen siendo objeto de abusos por parte de malware. Esto significa que cuando Firefox Send regrese, también se abusará de él nuevamente.

Conclusión y medidas defensivas

Si bien aplaudimos a Mozilla por haber desactivado temporalmente el servicio de envío de Firefox, hasta que se implemente una función de denuncia de abusos, el análisis de la discutida campaña contra el correo basura indica que el servicio de envío de Firefox es sólo uno de los muchos servicios de los que se abusa para la distribución de malware, y la adición de la función de denuncia de abusos no detendrá dicho abuso.
 
 
Para protegerse contra esos ciberataques, especialmente contra el secuestro del hilo de la conversación del correo electrónico, los usuarios deben ser cautelosos cuando reciben una respuesta no solicitada de un interlocutor que trata de atraerlos para que abran enlaces u otros documentos, ya sea adjuntos directamente al correo electrónico o a través de un servicio de alojamiento de archivos, especialmente cuando esos documentos no encajan en la conversación y/o se entregan a través de un mecanismo inusual, por ejemplo, si los documentos suelen compartirse a través de una solución de intercambio de archivos internos de la empresa, los usuarios deben ser especialmente cautelosos al abrir archivos compartidos a través de servicios externos.

El servicio de Hornetsecurity Spam and Malware Protection, con las tasas de detección más altas del mercado, ya detecta y bloquea todas las variaciones de los correos electrónicos reseñados que actualmente distribuyen la variante de malware Ursnif. Aquí también es importante que los usuarios no se dejen engañar por el secuestro del hilo de la conversación del correo electrónico. El servicio Advanced Threat Protection amplía esta protección detectando también amenazas aún desconocidas. Cuando se utiliza el servicio de cifrado de Hornetsecurity no es necesario un servicio de terceros como Firefox Send para cifrar los documentos enviados. Los correos electrónicos salientes se cifran automáticamente con una de las tecnologías de cifrado más comunes (PGP, S/MIME o TLS), según la política establecida y la disponibilidad de los certificados correspondientes, sin ninguna otra intervención del usuario.

Referencias

El Security Lab de Hornetsecurity publica nuevas cifras: cerca del 70% de todos los correos son no deseados

El Security Lab de Hornetsecurity publica nuevas cifras: cerca del 70% de todos los correos son no deseados

Cada día se envían unos 300.000 millones de correos electrónicos; se prevé que el número de correos enviados y recibidos con fines privados y comerciales aumente a 361.600 millones para 2024. Sin embargo, no todos los correos electrónicos que terminan en los buzones de los usuarios son deseados, y los correos electrónicos no deseados no sólo contienen publicidad cuestionable, sino a menudo adjuntos y enlaces maliciosos.
Los expertos del Security Lab de Hornetsecurity han analizado cuántos correos electrónicos son realmente deseados por los usuarios y qué peligros pueden acechar en sus bandejas de entrada. Para ello, se han basado en los correos electrónicos recibidos en el sistema para el año 2020 y han llegado a conclusiones interesantes: sólo el 28% de los correos podían ser clasificados como «limpios», es decir, inofensivos por los filtros de Hornetsecurity, por lo que más del 70% de todos los correos electrónicos dirigidos no eran deseados por el destinatario.

¿Qué correos electrónicos ya están bloqueados de antemano?

Un total del 67% de los correos electrónicos entrantes son bloqueados de antemano por los mecanismos de filtrado de Hornetsecurity: esto significa que estos correos ni siquiera han sido clasificados como dañinos o no deseados debido a varios factores. En junio de 2020, el Security Lab de Hornetsecurity analizó las razones para bloquear los correos electrónicos entrantes. A continuación, echamos un vistazo a las más importantes:

En primer lugar, el 58% son correos electrónicos que podrían clasificarse como spam de antemano utilizando una lista de agujeros negros en tiempo real.

En segundo lugar, el 12% son correos electrónicos que intentan usar los servidores de correo de Hornetsecurity como retransmisión abierta. La retransmisión abierta es el proceso por el cual, un servidor de correo electrónico entrega correos electrónicos de los que no es responsable. Por ejemplo, si example.com tiene un servidor de correo electrónico, sólo debería aceptar correo electrónico para mustermann@example.com. Un servidor de retransmisión abierto también aceptaría correo para otros dominios, como @test.com. Estos relés abiertos a menudo se utilizan para enviar spam con direcciones de remitentes falsas.

En el 5,9% de los e-mails bloqueados por Hornetsecurity no se pudo encontrar la dirección correcta del remitente – los ciberdelincuentes intentan ocultar su identidad o pretender ser otra persona. Un ejemplo: en el caso de mustermann@example.com, si el dominio example.com no existe, el correo electrónico se bloquea.

En el 5,3% de los correos electrónicos bloqueados se encontró contenido dañino. El contenido malicioso incluye archivos adjuntos como *.xls, *.doc, *.pdf que contienen software malicioso, pero también enlaces que conducen a páginas web maliciosas o comprometidas.

Zu den restlichen Gründen, weshalb E-Mails im Voraus von Hornetsecurity blockiert werden, zählen unter anderem technische Fehler, Greylisting oder wenn eine E-Mail einen nicht existierenden User addressiert.

¿Qué amenazas se encuentran en los correos electrónicos que no fueron bloqueados de antemano?

La proporción de spam, malware y otras amenazas en los correos electrónicos no bloqueados también es interesante. Para esta evaluación, los expertos en ciberseguridad comprobaron el número total de correos electrónicos entrantes menos los correos electrónicos bloqueados.

Alrededor del 10% de estos correos analizados eran spam y alrededor del 3% eran correos de información. Los expertos de Seguridad Informática del Security Lab también fueron capaces de encontrar malware en alrededor del 1% de todos los correos electrónicos entrantes, e incluso algo menos del 0,1% fue detectado por el servicio de Advanced Threat Protection de Hornetsecurity. Se trata de ataques como el fraude del CEO, spearphishing o los ataques que utilizan nuevos tipos de malware, que sólo fueron detectados por el ATP Sandbox de Hornetsecurity y no por los filtros clásicos. A la inversa, esto significa que más del 10% de los correos electrónicos que no se bloquean de antemano, contienen spam o archivos adjuntos y contenidos perjudiciales para el usuario.

Conclusión

Aunque la mayoría de los correos electrónicos dañinos pueden ser bloqueados, las empresas no deberían sentarse de brazos cuzados : los ciberdelincuentes encuentran constantemente nuevas formas de enviar correos electrónicos maliciosos a los usuarios y sus ciberataques siguen siendo a menudo exitosos.

Las webshells tras Emotet

Las webshells tras Emotet

Resumen

El Security Lab de Hornetsecurity presenta detalles sobre las webshells tras la operación de distribución de Emotet, incluyendo información sobre la descarga de cargas útiles y cómo, del 22 al 24 de julio de 2020, las cargas útiles de Emotet fueron sustituidas por código HTML con GIFs en sus URLs de descarga. El análisis muestra que la cantidad de descargas del contenido malicioso mediante las URLs de descarga de Emotet es significativo y que el pico observado asciende a 50.000 descargas por hora, demostrando que la gente sí que hace clic en los correos de Emotet. Más adelante, el análisis muestra que las páginas web comprometidas no solo se comprometen una, sino varias veces, y por parte de distintos autores, y que los esfuerzos de los administradores de dichas páginas web suelen ser insuficientes, lo cual permite que las descargas maliciosas de Emotet vuelvan a habilitarse.

Detalles

Emotet es uno de los emisores de malspam más prolíficos. Distribuye su malware mediante correos de malspam que contienen, o bien archivos adjuntos maliciosos con macros de VBA, o bien enlaces de descarga de dichos documentos maliciosos. A continuación, estos documentos maliciosos descargan el paquete de Emotet desde las URLs de descarga de Emotet. Estas descargas se alojan en sitios web comprometidos. Con este fin, los responsables de Emotet emplean malware de webshell en ellos. Estas webshells se emplean para subir nuevas cargas útiles a los sitios web comprometidos, bien se trate de documentos maliciosos distribuidos mediante enlaces maliciosos en correos electrónicos o del paquete de Emotet. Como los sitios web comprometidos acaban añadidos a listas negras o sus administradores los eliminan, los responsables emplean de 300 a 400 URLs al día.

Análisis técnico

En este análisis echaremos un vistazo a las webshells de Emotet.

La webshell S.A.P.

Teniendo acceso al sistema de archivos de un sitio web comprometido por Emotet, acceder a la webshell empleada por Emotet es muy sencillo. Sin embargo, con un poco de suerte, aprovechando errores de configuración en los sitios web comprometidos y las actividades de otros actores del mundo de las webshells, es posible obtener ejemplos de las webshells de Emotet sin necesidad de acceso a los servidores comprometidos.

Al principio, las webshells de Emotet se alojan en el directorio un nivel por encima de aquél que contiene la descarga de Emotet (es decir, bien un documento malicioso o el archivo ejecutable comprimido de Emotet). Por ejemplo, si la URL de descarga de Emotet es https://www.example.com/wp-includes/LYnUiE/, la webshell suele estar en https://www.example.com/wp-includes/. Sin embargo, también hemos observado webshells en otros directorios. A continuación, tratamos de aprovechar errores en la configuración de los sitios web comprometidos. Si hay suerte, incluso, el directorio que contiene la webshell puede ser un directorio abierto, es decir, un directorio permite el acceso a sus contenidos como en el siguiente ejemplo:

Directorio de Emotet abierto

En este ejemplo, import.php es la webshell de Emotet y lpyc42 es el directorio que alojará la carga útil de Emotet. Se han observado webshells de Emotet con los siguientes nombres: user.php, common.php, import.php, update.php, link.php, license.php, menu.php, image.php, options.php, tools.php, core.php, edit.php, functions.php, config.php y wp-list.php.

Obviamente, el acceso a la webshell está protegido. Así, al solicitar el archivo import.php, el servidor web ejecuta el código PHP y solo distribuye su resultado. Sin embargo, en algunos servidores, observamos archivos PHP que se habían renombrado, añadiéndoseles la extensión adicional .suspected.

Directorio abierto de Emotet con webshell renombrada (ignórense todas las demás webshells del directorio)

En realidad, lo más probable es que el que haya renombrado los archivos sea otro malware llamado Vigilante Malware Cleaner. El primero en descubrir y documentar Vigilante Malware Cleaner fue Bruce Ediger en 2019 [VigilanteMalwareCleaner]. La existencia de esta táctica de renombrado se remota como mínimo a 2015. El malware Vigilante Malware Cleaner parece infectar sitios web ya comprometidos, para luego buscar archivos potencialmente maliciosos entre los archivos PHP disponibles, desactivarlos añadiendo el apéndice .suspected a sus nombres de archivo y así excluirlos de la lista de archivos que el servidor ejecuta como código PHP. Esto provoca que el servidor entregue directamente los contenidos de los archivos (es decir, el código fuente de la webshell). Aprovechando esto podemos descargar el código PHP de la webshell de Emotet. Antes de permitir acceso a la webshell, el código consulta un parámetro llamado f_pp que se emplea para descodificar la webshell.

Webshell de Emotet codificada

Este parámetro f_pp sirve de contraseña a la webshell. Mediante análisis con OSINT, descubrimos que la webshell codificada es idéntica a otra hallada y descodificada por otro investigador en enero [EmotetWebshellSamples].

Para mostrar al lector lo que vería alguien que accediese a esta webshell con el parámetro f_pp correcto, ejecutamos el código PHP en un sistema de pruebas:

Webshell S.A.P. v.2.1 de Emotet

La webshell se identifica como webshell S.A.P., versión v.2.1. La webshell permite al atacante a buscar, cargar y descargar archivos. Permite ejecutar comandos arbitrarios. También ofrece cómodas herramientas para descargar bases de datos SQL desde el servidor, realizar análisis de red y/o robar contraseñas mediante fuerza bruta.

El hecho de que el proceso de descodificación dependa del parámetro f_pp como contraseña y de que hayamos encontrado varias muestras de exactamente el mismo código de webshell codificado hallado en enero es un firme indicio de que Emotet reutiliza contraseñas para sus webshells.

Infiltración de GIFs

Aunque no disponemos de registros ni de otras pruebas forenses de los sistemas en cuestión, en base a los hallazgos descritos, compartimos de la opinión de otros investigadores de que el reciente incidente en que las descargas de Emotet fueron sustituidas por código HTML con GIFs se debe a un fallo de seguridad de las webshells de Emotet. Esta hipótesis está respaldada por el hecho de que Emotet parece haber cambiado de webshell el 27 de julio de 2020, y de que las infiltraciones de GIFs se detuvieron en esa fecha. Sin embargo, el 31 de julio de 2020 se observaron indicios de nuevas infiltraciones de GIFs. Puede tratarse del tiempo que tardó el responsable de los GIFs en averiguar la nueva contraseña. Sin embargo, las nuevas infiltraciones de GIFs no son frecuentes, por lo que la estrategia que esté utilizando Emotet para defenderse de ellas estaría funcionando. Los GIFs empleados pueden interpretarse como una declaración hacia los responsables de Emotet acerca de que los autores de los GIFs siguen al acecho y decididos a seguir interfiriendo en la operación de Emotet:

GIF "Emotet está siendo vigilado"

GIF "Emotet está siendo vigilado"

En sitios web comprometidos por Emotet posteriormente hemos hallado variantes de la siguiente webshell en múltiples ocasiones:

Posible nueva webshell de Emotet

Aunque no estemos seguros de que ésta sea la nueva webshell de Emotet, cabe destacar que hay una actividad febril en el mundo de las webshell. Así, por ejemplo, hemos observado un servidor web que había sido objeto de dos infiltraciones de GIFs y tenía dos webshells renombradas con la extensión.suspected (probablemente) con Vigilante Malware Cleaner, así como una nueva descarga de Emotet activa, y todo esto en tan solo un directorio (otras partes del servidor contenían aún más webshells).

Directorio de Emotet abierto con 2 GIFs infiltrados

Esto significa que el sitio web no se usó para descargas de Emotet ni una ni dos, sino al menos tres veces (el 23 y el 28 de julio de 2020). El sitio web seguiría haciendo de servidor para cargas útiles de Emotet si no fuera porque, afortunadamente, se superó su límite de ancho de banda.

La descarga de Emotet dejó de funcionar por superarse el límite de ancho de banda

Existe la posibilidad de que los responsables de los GIFs estén obteniendo acceso gracias a una vulnerabilidad del sitio web en sí, o que incluso estén relacionados con el malware Vigilante Malware Cleaner. Lamentablemente, como proveedores de seguridad para correo electrónico, no disponemos de suficiente información acerca de las circunstancias de los sitios web comprometidos como para emitir diagnósticos concluyentes.

Estadística de descargas

En lo que respecta a las cuotas de descarga, existe un modo de monitorizar las estadísticas de descargas de cargas útiles de Emotet de modo externo. Emotet emplea código PHP para recopilar estadísticas de descarga agrupadas por los sistemas operativos indicados en la cadena de texto de los agentes de usuario de los navegadores que efectúan las descargas. Estos datos estadísticos se envían en forma de objeto JSON a un subdirectorio del directorio de descarga de cargas útiles de Emotet denominado $path , '/.' . sha1(basename($path)):

Estadística de descargas de Emotet

Por tanto, la estadística de https://www.example.com/wp-includes/LYnUiE/ puede consultarse en https://www.example.com/wp-includes/LYnUiE/.a2dd7d055bb668528c29e16f789755fb3aae277b.

Al consultar el código de webshell de Emotet previamente compartido [EmotetWebshellSamples], los números corresponden a los sistemas operativos Windows (4), Linux (3), Apple (2), Android (1) y «desconocido» (0) hallados en cadenas de texto de agentes de usuario:

Código PHP de estadísticas de Emotet

Procedimos a recopilar dichas estadísticas. Los contadores se ponen a cero cada vez que los servidores de nivel 2 de Emotet envían actualizaciones de documentos maliciosos y archivos ejecutables de descarga a los sitios web comprometidos a través de las webshells. Por tanto, cuando una nueva cuenta era superior a la anterior, tomamos la diferencia como la cantidad de descargas efectuadas entre las consultas. Si una cuenta era inferior a la anterior, partimos de la base de que se había puesto a cero y tomamos la nueva cuenta como la cantidad de descargas desde nuestra última consulta. También ignoramos las estadísticas de descargas detenidas, es decir, descargas que ya no se ponen a cero. Recopilamos datos con una frecuencia de 1 minuto. Emotet actualizaba los documentos aproximadamente cada 10 minutos. Como Emotet ataca al sistema operativo Windows, solo tenemos en cuenta las estadísticas de descargas para dicho sistema operativo. Durante 12 horas del 29 de julio de 2020 obtuvimos estadísticas de 739 URLs de descarga de Emotet (533 de las cuales registraron descargas activas en el periodo analizado). Los datos pueden visualizarse del siguiente modo:

Descargas de Emotet el 29 de julio de 2020

Esto es un diagrama de columnas apiladas en que la cantidad de descargas de cada URL se representa individualmente, mientras que el total muestra la cantidad acumulada sobre todas las URL de descarga. Cada color representa una URL de descarga de Emotet distinta. Obviamente, estas cifras incluyen descargas realizadas por investigadores en el campo de la seguridad y sistemas de seguridad automáticos tales como sandboxes. También perdemos las descargas que tienen lugar antes de que Emotet ponga a cero los contadores entre nuestras consultas. Con todo, las cifras ofrecen un cuadro interesante de las descargas de Emotet y, por tanto, de la tasa de clics de Emotet. Durante nuestra observación, la mayor cantidad de descargas de Emotet acumuladas en una hora fue de 50.000.

Al dividir las URLs de descarga por las cargas útiles entregadas (en base a un análisis del tipo MIME), podemos ver que la mayoría de las descargas corresponden al documento malicioso de Emotet. El paquete de Emotet se descarga bastante menos a menudo:

Descargas de Emotet el 29 de julio de 2020

Si ordenamos los números de descargas por el tiempo trascurrido tras la primera observación de la URL, vemos que el número de descargas de cada URL alcanza su máximo durante la hora que sigue a su primera observación. En ese momento, cada una de las URLs de Emotet observadas obtuvo alrededor de 200 descargas por hora. Sin embargo, las URLs continúan obteniendo descargas incluso 12 horas tras la primera observación de la URL. Por tanto, cada URL de descarga bloqueada o eliminada supone reducir las víctimas potenciales de Emotet, incluso si se hace a las 12 horas.

El siguiente diagrama de líneas ilustra el rendimiento de descarga individual de las URLs:

Descargas de Emotet alineadas por la hora a la que se observó por primera vez su URL

Apilando las cifras de descargas de URLs, la tendencia descendente puede observarse con claridad. Al cabo de 9 horas, la cantidad de descargas cae hasta a un tercio de la cifra observada recién descubierta la URL:

Descargas de Emotet alineadas por la hora a la que se observó por primera vez su URL como gráfico apilado

Pensamos que una parte del pico inicial puede atribuirse a sistemas de seguridad escaneando el malspam de Emotet y, por tanto, descargando los documentos maliciosos de Emotet desde sus URLs de descarga. Esto se confirma separando de nuevo los datos en URLs de distribución de documentos maliciosos y URLs que distribuyen el paquete de Emotet:

Descargas de Emotet alineadas por la hora a la que se observó por primera vez su URL

La cantidad de descargas del paquete de Emotet asciende más lentamente hasta su máximo que las descargas del documento malicioso, lo cual respalda nuestra hipótesis. Además, no hay ningún descenso brusco en las descargas de paquetes de Emotet.

De media, el paquete de Emotet se descargó unas 1500 veces por hora, mientras que los documentos maliciosos de Emotet se descargaban a un ritmo de unas 7500 veces por hora.

Intentos de limpieza fallidos

Durante un análisis más detallado de las URLs de descarga, observamos asimismo múltiples intentos de limpieza fallidos. A menudo, los administradores de los sitios eliminan el directorio que contiene la descarga de Emotet. Sin embargo, se olvidan de eliminar todas las webshells. En tal caso, los responsables de Emotet solo tienen que regenerar los archivos eliminados durante su siguiente actualización de cargas útiles. También hemos observado a Emotet empleando de nuevo un sitio web comprometido con anterioridad.

Otros errores observados

Tratándose de una operación tan extensa, es inevitable que los responsables de Emotet cometan errores. Uno de los errores es permitir que un tercero desmantele sus descargas de cargas útiles. Otros errores incluyen haber estropeado la expresión regular de sustitución, por lo que observamos URLs de descarga distribuyendo documentos maliciosos de Emotet con nombres de archivos incorrectos, tales como InvJP0732{:REGEX:.doc, INVOICE-Q84{:REGEX:.doc, invoice-UBO7631{:REGEX:.doc, etc. Estamos convencidos de que la parte {:REGEX: debería ser {:REGEX:[0-9]{3,6} (o algo similar), una sintaxis especial empleada por los procesos de generación de Emotet para aumentar la base de nombres de archivos mediante un patrón de caracteres aleatorio pero restringido. Esos patrones {:REGEX:[...] también se han filtrado con anterioridad en nombres de archivos adjuntos y son parte del proceso de automatización de Emotet. Hay que tener en cuenta que, dependiendo del navegador, el símbolo : de los nombres de archivo pueden sustituirse por _, pues : no es un carácter válido en el sistema operativo Windows. Vigilando muy de cerca la operación Emotet, con el tiempo, se observan muchos errores de ese tipo, y los conocimientos obtenidos pueden emplearse para mejorar nuestras defensas contra ella.

Conclusión y soluciones

Como muestra este análisis del Security Lab de Hornetsecurity, Emotet no solo se envía a gran escala, sino que sus contenidos maliciosos se descargan en volúmenes significativos.

Recomendamos que bloquee las URLs de Emotet conocidas en sus redes. Si visitar cualquier página web no es una actividad necesaria para su empresa, puede bloquear los dominios y no solo las URLs específicas. Esto aporta una mayor protección, pues, como se ha demostrado, Emotet y otros delincuentes pueden volver a utilizar los sitios web comprometidos, bien obteniendo acceso a ellos mediante webshells utilizadas previamente, o volviendo a infectarlos mediante el vector de acceso inicial (por ejemplo, una vulnerabilidad de WordPress o una contraseña débil). El bloqueo debería mantenerse incluso después de eliminada la descarga de Emotet, ya que el sitio podría seguir estando comprometido. Es muy probable que nunca necesite acceder a ninguno de esos sitios web en absoluto, por lo que mantenerlos bloqueados no debería causar ninguna inconveniencia.

El servicio Spam and Malware Protection de Hornetsecurity, con las tasas de detección más elevadas del mercado, ya detecta y bloquea correos de Emotet en base a indicadores conocidos. Advanced Threat Protection de Hornetsecurity amplía esta protección detectando amenazas aún desconocidas.

 

Referencias