Los delincuentes cibernéticos distribuyen actualmente una nueva forma de malware EMOTET que se dirige a los servicios financieros y bancarios para robar información confidencial mediante la inyección de código malicioso en la computadora de destino.
El equipo de US-Cert ya emitió una alerta por un ataque avanzado de malware Emotet que se dirige a los gobiernos, a los sectores público y privado de la manera más destructiva para robar información confidencial.
Campaña actualmente distribuida dirigida principalmente a Chile, donde infecta a cientos de usuarios de computadoras para acceder a servicios financieros y bancarios.
Los atacantes utilizan diversas técnicas de evasión, como vivir de la tierra para evitar las detenciones de Virus Total (VT).
Vivir fuera de las tácticas de la tierra es el uso de las características del sistema operativo, haciendo uso de herramientas ya instaladas en computadoras específicas o herramientas de administración de red legítimas para comprometer las redes de víctimas.
EMOTET Proceso de infección de malware
La etapa inicial de la ola de infección comienza a través de la campaña de correo electrónico malspam donde los atacantes insertan documentos maliciosos o enlaces a URL dentro del cuerpo de un correo electrónico a veces disfrazado de una factura o un archivo PDF adjunto.
Un archivo adjunto malicioso identificado como “ __Denuncia_Activa_CL.PDF.bat ” en el archivo adjunto del correo electrónico con el código fuente confuso para evadir la detección de antivirus y dificultar su detección.análisis.
Una vez que la víctima haga clic y ejecute el archivo .bat , un script por lotes de Windows se conectará al servidor de Comando y Control (C&C) para descargar el segundo script.
Según la investigación realizada por Pedro Tavares desdeseguridad–informaticainformado a " GBHackers On Security" "Este último aprovecha la vulnerabilidad de WinRar / Ace ( CVE-2018-20250 ), y coloca el malware en la carpeta de inicio de Windows. A continuación, la máquina infectada se reiniciará y el malware se volverá persistente en el inicio del sistema ".
El malware EMOTET incluye un empacador comercial extremo llamado Themida, lo que dificulta su análisis al implementar la capa adicional de protección.
“Themida Packer tiene un gran grupo de características específicas que son muy apreciadas por los delincuentes para proteger sus amenazas. Por ejemplo, utiliza técnicas de protección de máquinas virtuales, protección de depuración, emulación de máquinas virtuales, técnicas de antiponitorización, parches anti-memoria
Junto con esto, los autores de malware incluyeron varios módulos adicionales para rastrear la geolocalización del usuario y las preferencias de idioma para limitar sus objetivos. Al contar con la función de seguimiento de geolocalización, los atacantes se dirigen especialmente al usuario desde España / Chile.
Después del proceso de infección completo, Emotet enviar la información al servidor C2 de la computadora de las víctimas incluye fecha / hora de infección, IP remota desde la computadora de la víctima, versión del sistema operativo y nombre del antivirus
Chile, Estados Unidos, Alemania y Francia fueron los países con más éxitos. De un total de 1089 infecciones, 175 víctimas fueron afectadas en Chile, 162 enUSA, 137 en Alemania y 132 en Francia.
Fecha actualización el 2021-04-12. Fecha publicación el 2019-04-12. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: gbahckers Version movil