Resumen

El Security Lab de Hornetsecurity ha observado un incremento del 1000% en las descargas del cargador de Emotet. El aumento en las descargas del cargador de Emotet está relacionado con un cambio de compresor que provoca que el cargador sea detectado con menor frecuencia por los antivirus. Los datos que hemos recopilado apuntan a que el aumento en las descargas de Emotet se debe al hecho de que éste se detecta con menor frecuencia. Esto reduce la probabilidad de que los mecanismos de seguridad bloqueen sus URLs de descarga. Nuestros datos, sin embargo, también indican que los proveedores de antivirus ya están resolviendo el problema de detección, por lo que la tasa de detección del cargador de Emotet debería aumentar y el número de descargas debería reducirse. Este análisis muestra el efecto causado por los cambios en el compresor del cargador de Emotet.

Detalles

El malware conocido actualmente como Emotet se observó por primera vez en 2014. Por aquel entonces se trataba de un troyano bancario que sustraía datos bancarios y de acceso de sus víctimas. Sin embargo, más adelante, se transformó en una operación de malware como servicio (MaaS, por sus siglas en inglés) que provee servicios de distribución de malware a otros ciberdelincuentes.

Ya hemos escrito sobre Emotet en varias entradas anteriores. Los últimos acontecimientos pueden verse en la siguiente cronología:

Cronología de sucesos de Emotet

El 18 de agosto de 2020 se observaron cambios en el cargador de Emotet. El cargador de Emotet se comprime ahora con otro compresor. Varios investigadores han observado que este cambio de compresor ha provocado una menor tasa de detección del cargador de Emotet por parte de antivirus1. El cargador sin comprimir también se ha actualizado, pero dichas actualizaciones no han afectado mucho a sus descargas. Los cambios realizados el 7 de agosto de 2020 para resolver un desbordamiento de búfer empleado por una «vacuna» contra Emotet denominada EmoCrash no afectaron a las estadísticas de descarga de Emotet presentadas, ya que la «vacuna» solo actúa una vez descargado el cargador de Emotet.

Análisis técnico

Recopilamos estadísticas de descargas de las URLs de descarga de Emotet mediante los métodos descritos en nuestro artículo anterior sobre las webshells de Emotet2. Para quien no haya leído el artículo anterior, recordamos que el código de PHP empleado por Emotet para posibilitar sus descargas deja al descubierto un archivo JSON que indica el número de descargas de cargas útiles de Emotet en un dominio concreto. No hemos modificado ni nuestros métodos de adquisición ni nuestros métodos de análisis respecto al artículo anterior para garantizar que nuestros resultados sean directamente comparables y que los cambios observados puedan atribuirse a la operación de distribución de Emotet y a anomalías estadísticas provocadas por cambios metodológicos.

Hay dos tipos de URLs de descarga de Emotet: las que descargan un documento malicioso de Emotet y las que descargan el cargador de Emotet. Los documentos maliciosos de Emotet, que también pueden enviarse por correo electrónico, contienen URLs desde las cuales el código de macro de VBA descarga el cargador de Emotet, el malware que se instala en el ordenador de la víctima en sí.

En nuestros anteriores análisis, las URLs de descarga correspondientes al cargador de Emotet eran el 15%. Actualmente ascienden al 20%. Esto se debe a que los documentos maliciosos de Emotet ahora emplean 6 o incluso 7 URLs de descarga del cargador de Emotet, en lugar de las típicas 5, como puede verse en esta orden de PowerShell descodificada emitida por un documento malicioso reciente:

Emotet empleando 6 URLs de descarga

Sin embargo, la cantidad de descargas del cargador de Emotet que hemos podido recopilar de sitios web infectados mediante la página oculta de estadísticas de Emotet han aumentado un significativo 5%.

Las estadísticas de descarga del 29 de julio de 2020 indicaban que el cargador de Emotet se descargó a un ritmo medio de aproximadamente 2500 veces por hora. El siguiente gráfico muestra la proporción entre descargas de cargador y de documentos maliciosos, así como el volumen de las mismas a 29 de julio de 2020:

Estadísticas de descarga de Emotet antiguas

Dos días tras el cambio de compresor, el 19 de agosto de 2020, las estadísticas de descarga de Emotet indican que el cargador de Emotet se descargó a un ritmo medio de 25000 veces por hora, lo que supone un aumento del 1000%. El siguiente gráfico muestra la proporción entre descargas de cargadores y documentos maliciosos de Emotet, así como el volumen de las mismas a 19 de agosto de 2020:

Estadísticas de descarga de Emotet nuevas

Atribuimos este incremento a los recientes cambios realizados en el compresor de Emotet. Por ahora, los antivirus no detectan demasiado bien el nuevo paquete comprimido. Así, por ejemplo, la mayoría de URLs de descarga nuevas del paquete de Emotet pasó desapercibida para todos los antivirus de la lista de VirusTotal:

URL de descarga del cargador de Emotet no detectada en VirusTotal

URL de descarga del cargador de Emotet no detectada en VirusTotal

Aunque los resultados de VirusTotal no son representativos para la detección dinámica real de Emotet mediante programas antivirus, la reducción en la tasa de detección, especialmente en lo que respecta a las URLs de descarga del cargador de Emotet, indica claramente que el compresor de Emotet realmente la redujo. Como muchas de las URLs de descarga del cargador de Emotet solían etiquetarse inmediatamente como maliciosas, muchos productos de seguridad eran capaces de bloquear descargas por parte de víctimas potenciales, lo que provocaba un bajo total de descargas del cargador de Emotet.

El 20 de agosto de 2020, las descargas del cargador de Emotet descendieron a 7500 por hora, lo que supone una reducción del 70 % respecto al 19 de agosto:

Estadísticas de descarga tras mejora en detección de Emotet

Esto probablemente se deba a que los proveedores de antivirus hayan incrementado la detección del nuevo paquete comprimido de Emotet: al menos, las detecciones de VirusTotal de las URLs de descarga del nuevo cargador de Emotet comienzan a ser detectadas de nuevo por los antivirus:

URLs de descarga del cargador de Emotet detectadas de nuevo en VirusTotal

Esto apoya nuestra hipótesis de que el aumento en el número de descargas del cargador de Emotet se debe al nuevo compresor de Emotet y, en menor medida, al aumento de URLs de descarga del cargador de Emotet incluidas en los documentos maliciosos de Emotet.

Conclusión y soluciones

Nuestro análisis muestra el impacto causado por los cambios en el compresor de Emotet. Hemos observado un incremento del 1000 % en las descargas del cargador de Emotet, estrechamente relacionado con las detecciones realizadas por proveedores de software antivirus.

Para proteger frente a Emotet, la US CERT recomienda «implementar filtros en la puerta de enlace de correo con indicadores de spam malicioso conocidos»3.

Spam and Malware Protection de Hornetsecurity, con las tasas de detección más elevadas del mercado, no se ve afectado por las actualizaciones del cargador de Emotet (ya que éste nunca se envía directamente a través de correos electrónicos) y, por tanto, seguirá bloqueando todos los indicadores de spam malicioso de Emotet, tales como los documentos con macros empleados para la infección, así como URLs de descarga de Emotet conocidas. Advanced Threat Protection de Hornetsecurity amplía esta protección detectando también enlaces maliciosos aún desconocidos, que descarga de modo dinámico para luego ejecutar el contenido potencialmente malicioso en el entorno vigilado de una sandbox. Esto significa que, incluso si los cambios en el cargador de Emotet vienen acompañados de un cambio en las tácticas de distribución, Hornetsecurity estará preparada.

Aparte de bloquear los correos entrantes de Emotet, los defensores deberían valerse de la información de libre acceso proporcionada por el equipo Cryptolaemus, un grupo de voluntarios formado por especialistas en seguridad informática con el objetivo de combatir contra Emotet. Publican información nueva diariamente en su página web4. Allí podrá obtener la lista de IPs de servidores de C&C para encontrar y/o bloquear tráfico de control. Para recibir actualizaciones en tiempo real, puede seguirlos en su cuenta de Twitter5.

Referencias