Recientemente Blackberry reveló en su informe publicado el 20 de Enero del presente año, que se ha evidenciado una nueva ola de correos electrónicos no deseados de Emotet, cargados de archivos adjuntos del tipo [.]xls, que contiene un Dropper que engaña a los usuarios para que instalen la carga útil en la carpeta de plantillas de Office predeterminada de Windows, una ubicación en la que el sistema operativo confía para ejecutar macros maliciosos incrustados en los archivos entregados por Emotet.
Emotet
Como ya se ha mencionado en boletines anteriores Emotet tuvo su primera aparición en 2014 con una red compuesta de bots denominadas "Epoch" por el equipo de investigación de seguridad Cryptolaemus; dicha red enviaba continuamente correos no deseados a los usuarios a través de campañas intensivas de phishing, que les permiten engañar a usuarios descuidados para permitirles instalar programas maliciosos como Qakbot, Cobalt Strike e incluso ransomware como Ryuk.
Después de haber apagado sus campañas por varios meses, reapareció el 2 de noviembre del 2022, cuando sus botnet conocidas como Epoch4 y Epoch5, volvieron a mostrar actividad, reactivando sus campañas de correo no deseado nuevamente salvo que con la diferencia de que esta vez los archivos que enviaron a través del phishing corresponden a un nuevo método de dropper que hace que las víctimas primero abran, luego descarguen y ejecuten el archivos [.]xls con macros desde la carpeta de plantillas de Office que resulta familiar para el sistema operativo lo que permite la ejecución del malware.
Emotet es un troyano avanzado del tipo Malware-as-a-Service (MaaS), utilizado principalmente para robar información bancaria y datos personales de las víctimas. Es conocido por ser altamente evasivo y adaptable, y se distribuye principalmente a través de correos electrónicos de phishing.
Una vez instalado en un sistema, Emotet comienza a buscar información confidencial, como credenciales de inicio de sesión, información bancaria y datos personales. A menudo se utiliza como primer paso en un ataque cibernético más grande, ya que permite a los ciberdelincuentes acceder a un sistema y distribuir otros tipos de malware.
Emotet también tiene la capacidad de auto propagarse a través de la red, lo que significa que puede infectar a otros sistemas conectados al mismo. Además, puede evadir los sistemas de seguridad detectando y evitando la detección.
Ejecución del Ataque
Según lo observado en la investigación de Blackberry, Emotet agregó dos nuevas funcionalidades en sus tácticas, técnicas y procedimientos (TTP´s), para lograr insertar a través de los archivos [.]xls el malware:
El módulo de bloqueo de mensajes de servidor (SMB), inicia este proceso al obtener los mismos privilegios de seguridad que la cuenta de destino inicial. Una vez cargado en el sistema de una víctima, este módulo se hace pasar por ese usuario al duplicar su token de cuenta a través del nivel SecurityImpersonation. Esto otorga a un proceso los mismos privilegios que el usuario actual en ese sistema. Con estos privilegios duplicados, el módulo llama a una función "ImpersonateLoggedOnUser" para realizar acciones en el mismo contexto de seguridad de la cuenta que está actualmente conectada.
A partir de aquí, el módulo comienza a enumerar los recursos de red mediante las WinAPI WnetOpenEnumW y WnetEnumResourceW. De estos recursos, guarda cualquier servidor remoto potencial en una lista. Luego, usando dos listas codificadas adicionales (una de nombres de usuario comunes, otra de contraseñas comunes), el módulo itera sobre esta lista de nombres de servidores y aplica fuerza bruta al recurso compartido IPC$ con WinAPI WNetAddConnection2W buscando una conexión exitosa.
Si no se establece ninguna conexión con las credenciales disponibles, el SMB también puede intentar buscar nombres de usuario adicionales del servidor al que se dirige NetUserEnum WinAPI. Cualquier nuevo nombre de usuario potencial que se encuentre también será forzado con la lista codificada de contraseñas para iniciar sesión en el recurso compartido IPC$.
Si la conexión tiene éxito, el módulo finalmente intenta conectarse a los recursos compartidos ADMIN$ y C$. A partir de ahí, finalmente copia el dropper de Emotet en dicho recurso compartido y lo lanza como un servicio. El servicio se ejecuta con regsvr32[.]exe y se logra el movimiento lateral.
Por otro lado, la técnica “ladrón de tarjetas de crédito" apunta al navegador Google Chrome de las víctimas, con el objetivo de robar información almacenada de la tarjetas de crédito, si bien Emotet ha utilizado esta técnica anteriormente, ahora parece analizar las cadenas descifradas de Chrome específicamente, como se muestra en la siguiente ilustración.
Ilustración 1: Evidencia de exfiltración de tarjetas de crédito de Chrome
Fuente: ProofPoint
Acceso Inicial
Según lo observado, Emotet se vale de una técnica de inyección conocida como Heaven's Gate popularizada en la década de los 2000, que consiste en eludir la API de Windows® en Windows64 (WoW64), tomando procesos maliciosos de 32 bits para inyectarlos en procesos de 64 bits. Esta técnica funciona porque, si bien muchos productos de seguridad supervisan la actividad de los archivos conectando API de 32 bits (CreateFile, WriteFile, OpenFile), al ejecutar código de 64 bits se presenta la oportunidad de eludir completamente muchas llamadas al sistema que harían que los segmentos de código malicioso fueran demasiado ruidosos.
En la nueva campaña usada por Emotet de correos electrónicos de spam, el dropper es descargado por las víctimas a través de archivos [.]xls adjunto, mediante la activación de macros, que en su nueva variante de 64 bits permite eludir la detección.
Para ejecutarse el dropper Emotet usa ingeniería social tradicional para anular manualmente las protecciones que activan los macrosen los documentos de Office, por lo que le indica a la víctima que muevan el archivo recién descargado a la carpeta "Plantillas" de Excel, como se muestra en la siguiente ilustración:
Ilustración 2: Muestra del mensaje mostrado a la víctima para que evite la vista protegida
Fuente: Blackberry
Una vez ejecutadas las macros, el dropper se conecta a Internet para descargar y ejecutar el malware, desde una carpeta generada con un nombre aleatorio %UserProfile%\AppData\Local con un archivo [.]dll. nombrado aleatoriamente tambien, que una ves descargado utiliza regsvr32[.]exe para ejecutar Emotet.
Ilustración 3: Muestra de URL utilizadas por las macros para descargar los droppers Emotet
Fuente: Blackberry
ENTEL Weekly Threat Intelligence Brief del 16 al 22 de enero de 2023 |
Ciberactores explotan vulnerabilidad de fortinet como zero-day |
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Proteger el protocolo RDP: