Una amplia propagación de malware EMOTET emerge de nuevo con nuevas capacidades furtivas a secuestrar la API de Windows y evade la detección sandbox de seguridad
En anteriores versiones de Emotet utiliza el llamado RunPE que sirve para ocultar el malware en el proceso legítimo de evadir los escáneres de seguridad e inyectar su código en ventanas proceso ejecutable.En este caso, EMOTET Ha cambiado de RunPE a la explotación de la interfaz de programación de aplicaciones de Windows (API) que se utiliza para crear la cola de los temporizadores
La función principal temporizadores permite la selección de una función de devolución de llamada a un determinadotime.To añadir un temporizador a la cola, que llame a la funcion CreateTimerQueueTimer. Para actualizar un contador de tiempo del temporizador-cola, que llame a la funcion ChangeTimerQueueTimer.
En esta función de devolución de llamada es completamente reemplazada por la carga útil real de EMOTET y RunPE también utiliza para la explotación de la API de Windows y haciendo más difícil el detectar por los escáneres de seguridad.
Emotet evade las técnicas sandbox
Algunos malware sofisticado tiene una capacidad de dormir para algunos períodos de tiempo para evitar los escáneres. El malware cambia los períodos de sueño en muy corto tiempo de despertar el malware a la identificación de las actividades maliciosas.EMOTET revise las actividades escáneres para todos y cada milisegundos 0x3E8.
De acuerdo con Trend Micro Informe, Esta variante tiene la capacidad de comprobar si está dentro de un entorno de pruebas en la segunda etapa de su carga útil. El cargador EMOTET no procederá si ve que se está ejecutando dentro de un entorno de pruebas.
¿Cómo funciona EMOTET?
Inicialmente, los pasos de la cadena de infección comienzan a través de campañas de phishing de correo electrónico junto con el enlace URL maliciosa y se dejarán caer un archivo de documento que contiene la macro malicioso.Posteriormente se comunicará con los comandos y el servidor de control (hxxp : [.] // Bonn-medien de / RfThRpWC / ) y se ejecutará la carga útil cuentagotas PE desde el sitio malicioso.
Para finalizar para desembalar la variante de EMOTET que funcionar por sí mismo a través de otro proceso si no tiene privilegios de administrador.
De acuerdo con Trend Micro. Si el proceso tiene privilegios de administrador, se va a proceder con lo siguiente:
- Crea un nuevo servicio como un inicio automático para hacer el malware persistente
- Cambia la descripción del servicio a “Proporciona soporte para protocolo 3er partido plug-ins para Conexión compartida a Internet.”
- Inicia el servicio.
- Reune información del sistema como nombre del proceso y la información del sistema
- Cifra la información recopilada a través del algoritmo de hash SHA1 y el algoritmo AES-128.
- Cifra la información y POST en el servidor C & C.
