jueves, 24 de diciembre de 2020

Nueva campaña del famoso EMOTET

Nueva campaña de Emotet

      Esta semana ha comenzado otra campaña del ya famoso EMOTET. Se distribuye en grandes campañas de phishing y spam personalizado en varios idiomas y con diferentes tipos de archivos adjuntos.

Estás campañas que suelen ser cada 2/3 meses cambian continuamente, los delincuentes que se hallen tras de EMOTET utilizan diferentes señuelos de phishing y engaños de ingeniería social, con el objetivo de que el usuario inicie el documento .DOC adjunto.

A continuación, vamos a detallar el procedimiento que sigue está nueva campaña:

El usuario recibe un correo electrónico, por norma general el correo está en el idioma nativo del usuario y de un contacto conocido. El contacto que utilizan es muy similar, pero si uno presta atención se da cuenta de que no es el mismo exactamente, para falsificar el origen del correo los atacantes utilizan técnicas de spoofing.

Dentro del correo encontramos un archivo adjunto .ZIP cifrado, la contraseña para descifrar el archivo se encuentra en el propio cuerpo del mensaje. Este mismo hecho indica de la campaña de EMOTET, donde el archivo .ZIP está cifrado con una contraseña numérica de 3 dígitos.

En el archivo .ZIP encontramos dentro un archivo DOC. Dentro de este DOC hay una macro VBA fuertemente ofuscada, este es el motivo por el cual se utiliza un DOC, ya que en los nuevos archivos DOCX ya no está permitido incorporar dichas macros.

Por último, cuando el usuario abre este archivo se ejecuta la macro, la cual ejecutara comandos del sistema operativo como Powershell, MSG, CMD etc. Mediante estos comandos se descarga el payload real desde una URL/IP. En esta campaña el Payload consiste de un DLL que se ejecutara utilizando RunDLL e infectara al usuario, dentro de este DLL se encontrara el malware, que puede ser un ransomware u otro tipo de troyano.


No hay comentarios:

Publicar un comentario