Emotet Return trae nuevas tácticas y técnicas de evasión



Los investigadores de seguridad que rastrean a Emotet informan que su resurgimiento trae nuevos trucos, incluidas nuevas técnicas de evasión para eludir las herramientas de seguridad.

La botnet Emotet resurgió recientemente después de cinco meses de tranquilidad. Ahora, los investigadores que rastrean la prolífica amenaza comparten detalles sobre lo nuevo y diferente en su última ola, en particular, tácticas de detección de evasión que ayudan a los atacantes a pasar desapercibidos por las herramientas de seguridad.

Emotet se utiliza a menudo como el punto de entrada para infectar una empresa, después de lo cual los delincuentes permanecen en un entorno durante días o semanas. A menudo utilizan el tiempo para dejar caer cargas útiles secundarias En su última versión, Emotet ha utilizado TrickBot y QakBot para difundirse lateralmente y robar credenciales.

En los últimos años, esta amenaza ha venido «en oleadas», dice Shimon Oren, vicepresidente de investigación de Deep Instinct, donde los investigadores han estado analizando su actividad reciente. «Vemos periodos de muy, muy alto volumen de actividad, tanto en términos de nuevas muestras que se generan y se distribuyen y usuarios, como en términos de los objetivos».

Emotet se ha detectado en todos los sectores y tamaños de empresas, utilizando estafas de ingeniería social, desde facturas y estados financieros hasta correos electrónicos relacionados con COVID-19, para convencer a las víctimas de que hagan clic. La mayoría de sus víctimas recientes parecen estar en los Estados Unidos y el Reino Unido sin embargo, se sabe que los operadores diversifican la distribución con los idiomas locales, dice Adam Kujawa, director de Malwarebytes Labs.

«Por lo typical, se trata de un correo electrónico que afirma ser una respuesta a una amenaza de correo electrónico activa (por ejemplo, &#39RE: Eso que te envié&#39) e incluye un documento de Business adjunto», dice Kujawa. «Una vez abierto, activa un script de macro (que) descarga el malware y lo instala en el sistema».

Además de secuestrar los hilos de correo electrónico existentes, Emotet ha comenzado a agregar archivos adjuntos robados a los correos electrónicos para que parezcan legítimos. Una de sus principales capacidades, señala Kujawa, es establecer un módulo de correo no deseado en el sistema de la víctima, robar contactos de correo electrónico y enviar automáticamente ataques de phishing a los colegas de la víctima. Los métodos habituales para evitar correos electrónicos incompletos no se aplican: Emotet puede enviar un correo electrónico de alguien que usted esperaría, en un hilo del que forma parte.

«La gente detrás de Emotet son maestros del desarrollo cuando se trata de hacer que Emotet sea más capaz en el sistema, pero también son muy buenos para encontrar formas únicas de propagar amenazas en las redes corporativas», agrega.

Emotet se ha convertido en una vasta y evasiva pieza de malware que continúa expandiendo sus capacidades, incluidas las formas en que elude las herramientas de seguridad cada vez más avanzadas.

Los investigadores de Deep Intuition evaluaron un conjunto de datos de 38.000 muestras de la actividad de Emotet del 17 al 28 de julio dividieron estas muestras en tres épocas, o botnets que funcionan de forma independiente. También dividieron las muestras en 170 plantillas, la mayoría de las cuales se encontraron en una época, lo que indica que los operadores detrás de cada uno tienen sus propios cargadores de Emotet.

Descubrieron que el cargador Emotet contiene una gran cantidad de código benigno como parte de sus técnicas de evasión y podría manipular productos de seguridad basados ​​en inteligencia synthetic que dependen tanto de código malicioso como benigno al clasificar archivos. Insertar código benigno en archivos ejecutables puede reducir las posibilidades de detección, y parece que los operadores de Emotet están usando código legítimo de Microsoft para hacer esto.

Análisis revelado El código benigno de la actividad reciente de Emotet puede extraerse de archivos DLL de Microsoft que forman parte del entorno de ejecución de Visual C ++, o incluso de software package benigno no relacionado con el funcionamiento del malware, explican los investigadores en una publicación de web site sobre sus hallazgos. Solo una pequeña parte del código utilizado es realmente malicioso, oculto en un código que no generará una señal de alerta.

«Mucho del código está ahí para confundir, especialmente cuando se examina estáticamente, pero mucho del mismo ni siquiera se ejecuta», explica Oren. «Gran parte de ella ni siquiera se alcanza durante la ejecución».

El malware tiene varios pasos para su ejecución, que también pueden dañar las herramientas de seguridad. Un ataque comienza con un documento esto descarga un archivo, que descifra otro archivo, que lo lleva a la carga útil final. Su naturaleza de múltiples etapas es compleja, dice Oren, porque la lógica comercial maliciosa nunca se encuentra en el disco. Reside en la memoria y se descifra y desempaqueta en tiempo de ejecución.

Volviendo más fuerte
El grupo o grupos detrás de Emotet son conscientes del hecho de que su organización es más exitosa y puede durar más cuando opera en este modo de actividad de alto volumen, dice Oren. Aumentan su eficiencia y la tasa de infección, y la ola comienza a disminuir a medida que la industria adquiere una mayor comprensión de la amenaza.

«Entonces es hora de volver al laboratorio, pasar completamente por debajo del radar y comenzar a trabajar en la siguiente ola y hacerla lo mejor posible, lo más evasiva posible», explica. La táctica parece estar funcionando: después de apagarse durante unos meses, Emotet resurge más evasivo que antes, con técnicas que las herramientas de seguridad a menudo no están equipadas para manejar.

Emotet generalmente toma descansos durante todo el año, dice Kujawa. A veces es durante el verano, a veces en invierno, a veces ambos. Se cree que los atacantes utilizan este tiempo de inactividad para actualizar sus herramientas y encontrar nuevos métodos de distribución. Esta vez, sin embargo, hubo otro component.

«Parece que una vez que la gente empezó a trabajar desde casa, vimos un aumento en el uso de herramientas que no estaban destinadas a infectar redes corporativas, sino a ser utilizadas para infectar y realizar operaciones de recopilación de información sobre los empleados que trabajan desde casa», dice sobre el COVID- 19 pandemia.

Es posible que haya muy pocas personas trabajando en oficinas, en terminales corporativos, para permitir una campaña exitosa, continúa. El caos de todos que establecen políticas de trabajo desde casa puede haber hecho que las redes corporativas sean demasiado inestables para atacar a un objetivo específico, y los malos esperaban hasta que las cosas se ralentizaran.

Es importante tener en cuenta que los atacantes de Emotet saben que su malware será detectado, deteniendo sus funciones, y habrá esfuerzos para bloquear su amenaza. «La batalla entre el desarrollador de malware y el detector de malware será eterna», dice Kujawa. También saben que muchas organizaciones no protegen completamente sus redes contra el acceso externo o la infección interna, lo que permite que familias como TrickBot se muevan lateralmente por los sistemas internos.

«Así que han duplicado la vulnerabilidad con la que más pueden confiar, y eso está engañando a los usuarios», continúa. Si bien se ha agregado una nueva funcionalidad a la propia botnet, los investigadores se han centrado aún más en cómo se distribuye.

Contenido relacionado:

Kelly Sheridan es la editora de individual de Dark Looking through, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original