Resumen

El pasado 17 de julio de 2020 los expertos del Security Lab de Hornetsecurity han detectado el regreso del malware Emotet en forma de malspam. El malspam de Emotet que estaba resurgiendo ya estaba bloqueado por las reglas de detección existentes. La actual ola de malspam de Emotet vuelve a utilizar documentos macro maliciosos que se propagan ya sea a través de archivos adjuntos o mediante enlaces de descarga maliciosos. Como de costumbre, las macros VBA del documento descargan el cargador de Emotet que el Security Lab de Hornetsecurity ha analizado previamente [EmotetLoader].

 

Antecedentes

Como se informó anteriormente, el regreso de Emotet era inevitable. La red de bots de Emotet no ha enviado malspam desde el 7 de febrero de 2020. Aunque hubo otras actividades en la red de bots, como se puede ver en la siguiente cronología, el Security Lab de Hornetsecurity no ha observado malspam desde el mes de febrero de este año.

Emotet recent eventsEl 17 de julio de 2020 nuevos correos electrónicos de Emotet fueron bloqueados por los sistemas de filtrado de correo electrónico de Hornetsecurity. Uno de esos correos electrónicos tiene el siguiente aspecto:

Emotet malspam email

El correo electrónico tiene un documento de Word adjunto, sin embargo, también existen otros correos electrónicos con enlaces de descarga maliciosos a los documentos de Word maliciosos. Al abrir el documento se le indica al usuario que haga clic en el botón «Enable Editing» (o como los autores de Emotet lo llaman «Enable Edition») y que haga clic en los botones del banner «Enable Content»:

Emotet DOC attachment

Si el usuario hace esto, se convierte en una victima directa de Emotet.

Análisis técnico

Como se informó anteriormente, la típica cadena de infección de Emotet es la siguiente:

Emotet infection chain

Ya informamos sobre el cargador de Emotet como parte de un análisis sobre sus actualizaciones. Como en ese momento Emotet no enviaba malspam, no pudimos esbozar los documentos maliciosos que se suelen utilizar en las infecciones de Emotet.

Las macros VBA están ofuscadas. El macro construirá un comando Powershell a partir de cadenas ofuscadas incrustadas en el macro VBA:

Emotet Powershell command

La de codificación del comando codificado en Base64 revela las 5 URL de descarga del cargador de Emotet:

Emotet download URLs

El documento intentará descargar el cargador de Emotet de cada una de estas 5 URLs:

Emotet DNS queries

En caso de que una de las 5 descargas tenga éxito, se ejecuta el cargador de Emotet, que hemos analizado previamente en otro artículo [EmotetLoader].

Conclusión y soluciones

A diferencia de lo que se especulaba anteriormente, Emotet no tiene nuevos trucos, al menos no cuando se trata de malspam.

Para protegerse contra el malware Emotet, el CERT de los EE.UU. recomienda «implementar filtros en la pasarela de correo electrónico para filtrar los correos electrónicos con indicadores de malspam conocidos» [USCERT].

El servicio Spam and Malware Protection de Hornetsecurity, con las tasas de detección más altas del mercado, ya ha detectado y bloqueado el malspam reemergente de Emotet. Asimismo, Advanced Threat Protection de Hornetsecurity amplía esta protección al detectar también ciberamenazas aún desconocidas.

Además de bloquear los correos electrónicos entrantes de Emotet, los defensores pueden utilizar la información pública disponible del equipo de Cryptolaemus, un grupo voluntario de personas del campo de seguridad informática que se unen para luchar contra Emotet. Proporcionan nueva información diariamente a través de su sitio web [CryptolaemusWeb]. Allí puedes obtener la última lista de IPs C2 para encontrar y/o bloquear el tráfico C2. Para actualizaciones en tiempo real puedes seguir su cuenta de Twitter [CryptolaemusTwitter].

Referencias

Indicadores de compromiso (IOCs)

Hashes

SHA256 Descripción
99d8438c947cac7ca363037f1436ecab4e7fa4609c9c59f6fd5006a050d361aa Documento malicioso
5d2c6110f2ea87a6b7fe9256affbac0eebdeee18081d59e05df4b4a17417492b Documento malicioso
c5949244e5d529848c2323545a75eec34e6ba33c6519d46359b004d6717a68a5 Documento malicioso

URLs

  • hxxps[:]//www.elseelektrikci[.]com/wp-content/hedk3/
  • hxxps[:]//www.rviradeals[.]com/wp-includes/LeDR/
  • hxxps[:]//skenglish[.]com/wp-admin/o0gf/
  • hxxps[:]//www.packersmoversmohali[.]com/wp-includes/pgmt4x/
  • hxxps[:]//www.tri-comma[.]com/wp-admin/MmD/

DNSs

  • www.elseelektrikci[.]com
  • www.rviradeals[.]com
  • skenglish[.]com
  • www.packersmoversmohali[.]com
  • www.tri-comma[.]com