#EMOTET, la botnet y amenaza global que ya llego a Latinoamerica

EMOTET, la botnet y amenaza global que ya llego a Latinoamerica

EMOTET, la botnet de distribución de troyanos bancarios más importante del mundo ya se encuentra apuntando a Chile y Latinoamerica con campañas masivas de Phishing y documentos adjuntos de tipo Microsoft Word principalmente.

Emotet es una familia de troyanos bancarios conocida por su arquitectura modular, técnica de persistencia y autopropagación similar a la de los gusanos. Paso de ser un troyano bancario a un completo framework de distribución de amenazas:

El arribo

Mealybug es conocida mundialmente como la banda que dio vida a Emotet en 2014. Luego de desatar un ataque a la banca alemana que incluso sustrajo dinero de cuentas personales, su creación migró a Suiza, Australia y Estados Unidos. Y en 2018 llegaron a Latinoamérica, con ataques a México y Costa Rica. Pero, ¿qué convirtió a estos malwares en la pesadilla mundial de la banca? Su sofisticación, adaptabilidad y que afectan al eslabón más débil de la ciberseguridad: el humano.

*"Llega a los equipos de los clientes de diferente forma. Es distribuido a través de campañas de spam utilizando una variedad de disfraces para hacer pasar por legítimos sus adjuntos maliciosos. El troyano es frecuentemente utilizado como un downloader o como un dropper para payloads secundarios potencialmente más dañinos. Debido a su alto potencial destructivo , Emotet fue objeto de un comunicado por parte del CERT de Estados Unidos en julio de 2018.

Modus operandi

¿Por qué se convirtió en la pesadilla de la banca? “Es peligroso porque es polimórfico. Va cambiando automáticamente el código que tiene, y eso hace más difícil que un antivirus detecte la firma que deja. Además, utiliza la barrera más débil de la ciberseguridad, que son las personas. Tiene varias versiones y cada vez han hecho ataques más grandes”

|640x390


La sofisticación de este malware radica en su capacidad de mutar. Y se presenta de tantas formas, como cosas puede hacer. Las bandas no dispersan sus energías en usuarios al azar, sino que apuntan a computadores clave de las empresas. “Puede trabajar como Swift, empezar a escuchar lo que hago en mi equipo y lo envía en la red al grupo de hackers, o captura el teclado o la combinación de claves en tiempo real. También puede transmitir mi cámara en forma silenciosa, o el micrófono” .

Al “actuar de forma de puerta trasera el troyano suele no detectarse hasta que los dineros empiezan a moverse a otras cuentas” . Y si es tan difícil de detectar, ¿cómo se combate? Aquí los expertos señalan que no importa la cantidad que los bancos inviertan en seguridad, ya que un solo descuido de un empleado puede desatar el caos.

Utiliza principalmente vulnerabilidades de Microsoft Office para ejecutar código en la máquina y hacer las descargas de sus componentes, se vale de CVE’s como:

  • CVE-2014–1761
  • CVE-2017–0199
  • CVE-2017–0199
  • CVE-2018–8430
  • CVE-2018–0792

Fuente: Segu-Info

6 Me gusta

Emotet ha existido desde 2014 cuando comenzaron a difundir una primera versión de su malware que funcionaba como un troyano bancario.

Este troyano bancario nunca fue una amenaza masiva y se extinguió lentamente en los próximos tres años, todo hasta el verano de 2017, cuando la pandilla Emotet renovó su código y convirtió el troyano bancario Emotet original en una familia de malware modular que se utilizaba principalmente para infectar Los usuarios y luego entregan cargas útiles secundarias para otros grupos delictivos.

Desde el verano pasado, Emotet ha estado creciendo, creciendo y creciendo, tanto en capacidades como en el número de víctimas que ha infectado.

Por lo que es muy importante una protección proactiva que no depende de firmas o actualizaciones para poder detectar cuando un documento de Office esta infectado por Emotet

Salu2

3 Me gusta

Hola, desde aquí se puede hacer una análisis por si un equipo obtuviera un Botnet También tiene un plugin para prevenirlos

Gracias a OSI ANTIBOTNET

:roll_eyes: De poco o nada te va a servir esa utilidad, ya que si lees en el articulo, Emotet se trata no solo de una botnet, sino de un “Troyano Modular” que es mucho mas peligroso y difícil de poder eliminar que un troyano bancario común o botnet.

Salu2

1 me gusta

Si un documento infectado es abierto con otra suite ofimática como LibreOffice, también se infectaría la pc?.

yo pienso que si, por que es una ejecución lo que se ha realizado… No?.

NO, la respuesta es NO

Estos documentos cuentan con un script de Macros que es el que lanza la infección, ya sea bien enviando el código malicioso en forma de fileless a la memoria del equipo o bien descargando desde un C&C la carga util (payload) real del malware que se ejecutara de forma automática.

Estas macros no se ejecutan en Open Office, Office Online, Libre Office, Word Perfect o cualquier otro programa de oficina que pueda leer archivos de Word o Excel.

Salu2

3 Me gusta

En este caso, si solo se tuviera la beta de malwarebytes antixploid, ¿bloquearía el scrip malicioso?

Efectivamente, SI :sunglasses:

3 Me gusta

Gracias como siempre a @Pacman por la noticia, y a Marcelo por tu respuesta

1 me gusta