Emotet“, conocido desde 2014 como el troyano bancario, es un malware que constantemente muestra nuevas variantes. En la segunda mitad del año 2017, hemos observado una nueva y además muy activa ola de ataques, distribuidos a través de enlaces en emails de phishing. En este artículo, explicaremos el vector de ataque y la vía de infección de “Emotet“, así como sus métodos de propagación, objetivos y trucos empleados para evitar el análisis, todo con la ayuda de una muestra previamente analizada de forma estática y dinámica.

 

Phishing emails como vectores de ataque

 

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

Here you can create the content that will be used within the module.

 

Pudimos observar phishing emails muy simples pero a la vez muy eficaces, en los que se empleaba la identidad de una persona a partir de un libreta de direcciones hecha pública. Con esta, el atacante envía un enlace al resto de las personas en la libreta de direcciones, que invita a descargar un documento de Office. Las libretas fueron extraídas de otros ordenadores infectados con “Emotet”.

 

Según un informe de Kaspersky Lab sobre la última gran oleada de 2015, “Emotet” cuenta con un diseño modular que le permite descargar en el sistema infectado cualquier contenido desde un servidor de “Command and Control” (C&C), empleando una utilidad de descarga integrada. Además, el troyano incluye un módulo para extraer las libretas de direcciones de Microsoft Outlook en los equipos infectados. Este comportamiento se ha observado también en la nueva variante de “Emotet”.

 

 

Con el enlace en el email de phishing, las víctimas descargan un archivo de Office, por ejemplo, disfrazado de factura, que incluye una macro maliciosa. Cuando el usuario abre el archivo, se le anima a activar la función de macros a través de un truco de phishing.
 
 
Betrugsversuch durch gefälschte Officeanweisung

Si la víctima cae presa del truco y lleva a cabo las instrucciones en la captura de pantalla, se ejecuta la macro de VBA en el documento, que a su vez pone en efecto una serie de comandos de PowerShell para descargar y ejecutar “Emotet“. Para el agresor, la ventaja de este método es que puede cambiar el contenido de la descarga en cualquier momento o apagar el servidor si lo desea. Este componente temporal dificulta la tarea de predecir las consecuencias de una infección.

 

 

Análisis de “Emotet”

Hemos analizado una muestra de malware que es responsable por la infección y la descarga de nuevos módulos. Esta muestra fue descargada con la macro de un documento de Office, con el siguiente identificador único sha256: 9e40a7cc2a8d070dbcbb24fe37782ef70876f748bc9e8304d4391601ee4e6f57. Mediante ingeniería inversa y análisis dinámico, hemos podido observar que “Emotet” opera en cuatro fases:

 

1ra fase

 

En esta fase, el software malicioso parece ser inofensivo, porque importa relativamente pocas funciones. Junto con secciones de una muy obvia alta entropía, esto es una señal de que el archivo binario tiene contenido comprimido.

 

Aquí se cargan las bibliotecas necesarias para ejecutar la primera fase del malware y, a continuación, recoge la información básica sobre el sistema, como por ejemplo, el nombre de usuario, nombre del ordenador, variables del entorno y la ruta de Windows. Esta ruta se combina con el string “\system32\calc.exe”, para así crear “C:\Windows\system32\calc.exe” Después, comprueba si se trata de un archivo ejecutable, como se puede ver en la siguiente captura de pantalla del análisis dinámico. De esta manera, el software malicioso intenta descubrir si realmente se encuentra en un entorno Windows.

 

 

Al final de la primera fase, se descifra, desempaca y ejecuta la segunda fase.