Reportan ciberataque por e-mail este Día de Acción de Gracias
Recientemente, se ha observado que Emotet – el troyano bancario que se convirtió en una plataforma de distribución de malware – está cambiando su comportamiento de formas interesantes. Después de una pausa de varias semanas, notamos que Emotet regresó a mediados de noviembre con una ofuscación de macros y un nuevo formato. El 19 de noviembre, inició una campaña basada en la celebración del Día de Acción de Gracias que se celebra en Estados Unidos. Como muchos sabrán, esto se aparta de los temas financieros comunes que se ven con regularidad.
Gran Cantidad de Felicitaciones por Correo Electrónico.
Figura 1 – Una muestra del contenido de los correos electrónicos
El equipo de Emote ha incluido cuidadosamente algunas palabras festivas sobre el Día de Acción de Gracias en los correos electrónicos que hemos analizado, los cuales han superado los 27,000 durante el periodo comprendido entre las 07:30 horas EST y las 17:00 horas EST.
Macros y Ofuscación.
Esta nueva campaña que aprovecha el tema del Día de Acción de Gracias sigue el patrón normal de un correo electrónico que contiene un documento con macros embebidos, los cuales llevan a un programa de descarga PowerShell para la carga dañina de Emotet.
Sin embargo, en este caso el documento no es un .doc o .docx normal sino un archivo XML que se hace pasar como un .doc, en tanto que el macro utiliza la funcionalidad “Figuras”, la que finalmente lleva a abrir la función shell usando un WindowStyle de vbHide. La sintaxis para la función shell es
Shell( pathname, [ windowstyle ] ) donde pathname puede ser un programa o un script.
El resultado es un comando fuertemente ofuscado.
Cuando se elimina la ofuscación, el comando anterior revela el programa de descarga PowerShell estándar que normalmente observamos con Emotet.
Conclusión
A pocas semanas de que Emotet regresara, ha experimentado algunos cambios interesantes, principalmente la inclusión del Día de Acción de Gracias y la ofuscación de macros que se discutió anteriormente. Si bien no es algo nuevo (el uso de archivos XML para ocultar macros fue reportado por Trustwave en 2015), representa un desafío para los encargados de la seguridad debido al enorme volumen de correos electrónicos enviados, pues se tienen que crear rápidamente las firmas de detección necesarias para contener esta oleada.
Declaración de Protección
Los clientes de Forcepoint están protegidos contra esta amenaza en las siguientes etapas del ataque:
-
Etapa 3 (Entrega) – Los correos maliciosos se identifican y se bloquean.
-
Etapa 4 (Explotación) – Los archivos adjuntos maliciosos se identifican y se bloquean.
-
Etapa 5 (Archivo dropper) – Los URLs de la carga maliciosa se identifican y se bloquean.
-
Etapa 6 (Call Home) – El tráfico a los nodos C2 se identifican y se bloquean.
Conéctese con Forcepoint en los medios sociales
Facebook: https://www.facebook.com/ForcepointLLC/
LinkedIn: https://www.linkedin.com/company/forcepoint
Twitter: https://www.twitter.com/forcepointsec
Instagram: https://www.instagram.com/forcepoint