Resumen: La reconocida red de bots, apodada como Emotet, ha comenzado a instalarse en archivos de acceso directo de Windows (.LNK) que ejecutan comandos de PowerShell.
Emotet, también conocido como “el malware más peligroso del mundo” fue detectado por primera vez en el año 2014.
Aunque originalmente fue diseñado como un troyano bancario, con el paso del tiempo, los desarrolladores del malware fueron añadiendo nuevas funcionalidades.
Hoy en día, Emotet es un malware capaz de llevar a cabo el robo de información, la encriptación con servicios de ransomware, el envío de correos electrónicos de spam y la comunicación con servidores de terceros.
Según informan múltiples investigadores, en su reciente campaña, Emotet ha empezado a hacer uso de comandos de PowerShell adjuntos en archivos .LNK, con el objetivo de desplegarse en los ordenadores de sus víctimas.
Ahora bien, todo parece indicar que la banda comenzó a utilizar esta nueva técnica, tras haber fracasado en operaciones anteriores, en donde el instalador del malware fallaba en la creación de un archivo VBS y, por lo tanto, no era posible llevar a cabo un ataque exitoso.
Durante esta nueva campaña, para llevar a cabo su acometido, los operadores detrás del malware deberán ejecutar una serie de comandos de PowerShell que se encargarán de descargar y ejecutar un script.
Los comandos de PowerShell deberán ir adjuntos a un archivo .LNK, que incluirá una cadena maliciosa a fin de ofuscar las herramientas de detección y ocultar el cuadro de diálogo con las propiedades del archivo.
Del mismo modo, el archivo .LNK malicioso, incluirá URLs de sitios comprometidos que se utilizarán para almacenar la carga útil del script.
Más adelante, el script se encargará de generar otro script de PowerShell, cuyo objetivo será descargar Emotet y guardarlo en la carpeta %Temp%.
Una vez hecho esto, la DLL descargada, se ejecutará utilizando el comando “regsvr32.exe”, el cual deberá finalizar la descarga, así como el lanzamiento del malware.
Por último, los analistas de Cryptolaemus han mencionado que la reciente campaña se trata de un claro intento por parte de los ciberatacantes, por eludir las defensas y la detección automática de los servicios de seguridad.
Mientras tanto, los investigadores de seguridad de ESET, han informado que el método de ataque ha aumentado durante las últimas 24 horas, desde su publicación, en países como México, Italia, Japón, Canadá y Turquía.
Dicho esto, se le recomienda a todos los administradores, tomar las medidas necesarias para mitigar la posible explotación de Emotet.
Recomendaciones: Medidas para prevenir la descarga de malware Mantener sus dispositivos actualizados y parcheados Activar la autenticación de dos factores Evitar descargar archivos sospechosos No abrir enlaces desconocidos
Referencias: https://www.datto.com/blog/emotet-malware-how-does-it-work-and-how-can-it-be-stopped
|
SÍGUENOS