Emotet Trojan está de vuelta cuando el mundo se desbloquea


Tiempo de lectura estimado: 5 minutos

Un actor de amenazas llamado Emotet Trojan ha estado en libertad durante más de 5 años y ahora está de regreso después de un descanso de 5 meses. Se ha extendido por todo el mundo, infectando tanto objetivos nuevos como antiguos. Se relanza con múltiples Campañas de Malspam para distribuir en todos los sectores.

Observamos a través de nuestra telemetría de detección que las campañas de Emotet se han dirigido a una variedad de sectores. Se difunde a través de SpamMail con temas candentes como Covid-19, Vacuna para Covid-19 y algunas otras palabras clave genéricas como Seguro médico, Pago, Factura, Actualización / apertura de trabajo, Ciberataque, Envío y muchas más.

Cadena de infección

Fig 1: Cadena de infección

La cadena de infección comienza enviando correos electrónicos elaborados a la organización o persona objetivo. El atacante utiliza el método de secuestro de correo electrónico para enviar los correos electrónicos creados con un archivo adjunto. El archivo adjunto puede contener un documento de Word, un archivo de macro o un PDF. A veces, el cuerpo del correo electrónico también contiene URL. A medida que se secuestra el buzón, el archivo adjunto se envía respondiendo a hilos de correo electrónico antiguos o reenviando a una lista de correo existente, por lo que la víctima abre fácilmente el archivo adjunto ya que el correo proviene de una identificación de correo confiable.

Encontramos una gran cantidad de correos electrónicos no deseados, algunos de los ejemplos se enumeran a continuación:

Correos no deseados

Fig 2. Ejemplo de correos spam

El atacante ha cometido un error tonto aquí, podemos ver en el correo que el asunto y el nombre del archivo adjunto no coinciden. En la mayoría de los casos, un nombre adjunto contiene "Informe médico Covid-19".

Análisis de documentos

El documento adjunto de Office contiene una macro. La macro contiene un código VBA muy ofuscado. El código es responsable de entregar la carga útil en la cadena.

Fig 3. Código de macro en un archivo adjunto.

Después de un poco de desofuscación, el código de función "Qndiwjphrk8an6x" es el siguiente

Qndiwjphrk8an6x = "winmgmt" + ": win32_" + "p" + "rocess"

que se traduce en winmgmts: win32_process. Una vez que eliminamos los datos fragmentados, obtuvimos un código legible con funciones y variables de referencia.

Una parte interesante del directorio en Macros Ofbszpwp168r o.stm es que podemos ver algunos datos ofuscados nuevamente.

Fig 4. Ofuscación en archivo Doc

Después del nivel inicial de desofuscación, obtuvimos un script de PowerShell codificado en base64 como se muestra en la siguiente figura.

Fig 5. Código PowerShell codificado en base64

Después de decodificar con base64 y procesar datos, obtuvimos el siguiente script de PowerShell.

Fig 6. Script de PowerShell decodificado en Base64

Contiene dominios o URL maliciosos que sirven ejecutables de Emotet. Usando los comandos de PowerShell, el ejecutable de Emotet se descarga en el directorio "% temp%" en la máquina de la víctima.

Análisis de carga útil

La carga útil descargada del archivo anterior tiene un empaquetador personalizado. El desembalaje se realiza en tiempo de ejecución. El código del empaquetador de Emotet es polimórfico, lo que dificulta que las herramientas de detección basadas en firmas lo detecten basándose en el código del empaquetador.

Su sección de recursos (.rsrc) tiene datos importantes que parecen indicar que el malware podría estar empaquetado. En la siguiente Fig. Podemos ver que RC Data tiene un código encriptado.

Fig 7. Archivo con datos cifrados en recurso

Mientras depuramos el archivo, observamos que los datos se descifrarán utilizando una versión ligeramente modificada de RC4. La clave para RC4 está codificada en el archivo. Después del descifrado, el control pasa al shellcode descifrado.

Fig 8. RC4 utilizado para el descifrado

En algunos archivos hemos visto el uso de VirtualAllocExNuma para asignar nueva memoria. Se utiliza para un procesamiento rápido. El comienzo de un shellcode ofuscado se copia en la nueva dirección después de ser descifrado usando el algoritmo RC4 modificado. Además del código de shell relativamente corto, se puede ver un PE adicional en la memoria.

Fig 9.Código de shell descifrado y archivo PE

Shellcode desofusca varias llamadas API en tiempo de ejecución, como LoadLibraryA, GetProcAddress, VirtualAlloc y VirtualProtect, todas las cuales se utilizarán para resolver API y asignar memoria para ejecutar el PE adicional.

Fig 10. API resuelta

Después de esto, el malware asigna memoria y copia los datos del archivo descifrado y llama a VirtualProtect y, finalmente, el programa salta al punto de entrada real del archivo descifrado.

El mecanismo de difusión de la campaña Emotet sigue siendo casi el mismo que ya habíamos comentado en nuestro blog anterior. Léelo aquí.

Después de ejecutar Emotet, exfiltrará los datos al servidor CnC. Mientras se envían, los datos se codifican y envían con un nombre aleatorio del archivo y una ruta aleatoria al servidor.

Fig 11 Tráfico CnC

Estadísticas de golpes de detección

En la detección de Quick Heal, hemos detectado con éxito estos troyanos Emotet. Contamos con múltiples capas de detección como protección de correo electrónico, protección en línea y detección de comportamiento para proteger a nuestros clientes.

Aquí están las estadísticas de detección, el número de visitas por día en los últimos 45 días.

Fig.12 Estadísticas de detección

Conclusión

Emotet es un actor de amenazas persistente y muy exitoso en la entrega de malware basado en correo electrónico, con un enfoque principal en el robo de correo electrónico y el envío de malware adicional. Tiene un código ofuscado moderado para entregar y evitar la técnica de detección.

Con el impacto global de COVID-19, es probable que los actores de amenazas continúen usando correos electrónicos con temas de COVID-19 para distribuir malware de manera generalizada en apoyo de sus objetivos para todos los sectores.

Los clientes de Quick Heal han estado protegidos durante mucho tiempo de Emotet y otros correos electrónicos con temas de COVID-19. Continuamos rastreando e informando tales ataques para mantener seguros a nuestros clientes.

Expertos en la materia:

Prashant Tilekar y Preksha Saxena

¿Tienes algo que agregar a esta historia? Compártelo en el



Enlace a la noticia original