Un reciente ataque de EMOTET está utilizando una nueva técnica para evadir los softwares de seguridad y ocultar el tráfico de infección. En un principio, utiliza los dispositivos afectados como servidores proxy de Command and Control (C&C), redirigiendo el tráfico al servidor C&C original, operado por los ciberdelincuentes.
EMOTET es una familia de peligrosos malwares que infecta a usuarios a nivel mundial. Para los investigadores es muy difícil de analizar y detectar porque el malware muta, modificando sus firmas y vectores de comportamiento día a día.
La nueva campaña utiliza un e-mail con un archivo adjunto .ZIP que simula ser una factura. Al ejecutarse, descarga varias variantes del troyano Powload (Trojan.W97M.POWLOAD). El archivo está protegido con una contraseña que viene en el cuerpo del correo, que supuestamente sirve para abrir el archivo. Si la víctima la ingresa, éste usa Powershell para descargar un nuevo ejecutable que es el payload de Emotet.
Se puede concluir que el malware suele ingresar a través de campañas de phishing o spearphishing, mediante archivos adjuntos, aprovechándose de equipos que no tienen actualizados softwares de Microsoft Office o Adobe Reader, entre otros. Y que al tener características de gusano, también intenta propagarse a equipos vecinos del infectado, mediante el robo de credenciales en memoria y la explotación de vulnerabilidades de softwares.
Se recomienda lo siguiente:
- Revisar que la solución antispam esté actualizada, sea efectiva y esté bien configurada.
- Asegurarse que la protección de Endpoint no se base solamente en tener firmas para bloquear malware.
- Limitar el acceso de las cuentas de usuario y su capacidad de conectar a otros equipos.
- Contar con un programa EDR (Endpoint Detection and Response) para evitar tomar el control remoto de un equipo infectado vía Remote Desktop.
- Tener una visibilidad completa y segmentada de la red de la compañía.
- Revisar que las herramientas de detección de intrusos (IPS/IDS) estén actualizadas y bien configuradas.
- Revisar que ningún equipo de la red sea vulnerable a los exploits de MS17-010.
- Tener una estrategia de comunicación y actuación para estas infecciones.
- Analizar el tráfico con destino a IoC’s de C2 a nivel perimetral.
- Analizar el volumen de infecciones a nivel de Endpoints (no es normal que equipos de usuarios estén limpiando virus).
- Revisar alzas de tráfico SMB (445, 139) entre equipos de la red.
- Realizar un ThreatHunting a nivel de logs de eventos de Active Directory, para detectar movimientos laterales con credenciales.
- Analizar el perfil de comportamiento de los usuarios, mediante técnicas de UBA (User Behaviour Analytics).
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 8.1 10 |