TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Remoto.
Impacto: Obtención de información confidencial.

Descripción

Un firma de ciberseguridad ha descubierto una nueva forma de distribución del troyano bancario “Emotet” dirigido particularmente a equipos con sistema operativo Windows. Este programa malicioso comenzó a operar en 2014 y desde entonces ha sufrido varias modificaciones para ser usado en múltiples campañas en diferentes organizaciones de todo el mundo.

Las actualizaciones permiten a este troyano actuar de forma modular con funciones para instalación de puertas traseras (backdoors) y descargar otras familias de programas maliciosos ya estando en el equipo comprometido. Además, los autores detrás de este código también han implementado diferentes tácticas, técnicas y procedimientos (TTPs) para evadir las herramientas de seguridad.

En esta nueva forma de operar, Emotet es distribuido a través de “malspam” mediante una técnica conocida como “secuestro de hilos”, en esta, los datos robados son cifrados y enviados mediante solicitudes HTTP POST a los servidores de Comando y Control (C&C) de los atacantes.

El secuestro de hilos es usado por Emotet principalmente para propagarse dentro de la red, ya que roba correos electrónicos de los usuarios para responderlos o reenviar correos antiguos pero esta vez adjuntando archivos de Microsoft Office con macros maliciosas, de esta forma, otro usuario lo recibe y al ver que proviene de un correo conocido y legítimo lo abre, ejecuta e infecta su equipo.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Sistema Operativo Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5:
    • 496f1c3447312df980066cc6eb2c0f8a
    • 01c1c954c8ab14a52edb4cb28a33fad0
    • 9dca5909658e38e92372c5347a2c21f9
    • c7f0865ed508ddd555992c20e2e3baa8
    • 95ba1b837844212495f1426f747efc60
    • e2ec10a2767b29aa84963f2ce2dbb3cb
    • cf074c252eef9ae9a14413320a86c973
    • a792b77d321c508ed328ca31ad7055f5
  • SHA-1:
    • fd0ce933c99aff1ec19bdce8a0e90ae0e912197c
    • d420b83d6705c8daa6ec9600ef8a54f1cda0ff0b
    • bc7c7a2e0a582a025c7a4115c94dfb24c3a3dd38
    • e833f2c023b64440d11324bc316cc09641d1b19b
    • 766d4e9ac2b67e1b806d5b9ce75242d79113f279
    • cc2847084440dfceade66a9b36380542d8f9cbc6
    • 42d21392584553ca5cc0995d90a3ba0827568a1f
    • 2b8cf92baf00d54e45236e45452e1b22beb49db2
  • SHA-256:
    • 712afd0e72c7bd5664cd728de63cb50367547466540cdb5b084bafefed578c41
    • 71250d2191e4430c650c3e5834fa7537d6e86c8a4e6c9ae586e32bb9e4ec6d76
    • 1f95f1bcb4d64eabc5e073cf6fd417f2af38af4f1b0c02594f5313a162dfe6a3
    • d6a6ba1726014c272a4be4d8867b85739b700790d83f97c25845567b63783796
    • 8c5825592cbfab44b18cfcae8b14deef9d062f198ffe327037ddb1391800a8e1
    • eaa4f0dea77f984b8efa53e2e8620ad4561e443deb21bd76449090d18834ac76
    • 86f6a8c104f4aaa828a6ce9db93947f1a68655dfad57bd0286bd6782221548a1
    • 6049be3dba7b8227c93be57d1c0e781e62ac48e120889fffed747a12dcd8e06e
  • IPs:
    • 10[.]31[.]120[.]62
    • 189[.]126[.]112[.]35
    • 197[.]189[.]201[.]235
    • 197[.]242[.]145[.]208
    • 162[.]241[.]78[.]126
    • 201[.]76[.]49[.]122
    • 23[.]111[.]155[.]130
    • 189[.]126[.]112[.]18
    • 189[.]126[.]100[.]6
    • 10[.]31[.]120[.]50
    • 187[.]45[.]101[.]52
    • 212[.]87[.]45[.]140
    • 157[.]97[.]111[.]131
    • 212[.]87[.]47[.]5
    • 139[.]0[.]239[.]169
    • 201[.]76[.]49[.]165
    • 10[.]31[.]120[.]63
    • 191[.]82[.]29[.]83
    • 189[.]126[.]112[.]85
    • 174[.]113[.]69[.]136
    • 51[.]38[.]124[.]206
  • Dominios:
    • mcbain0014[.]email[.]locaweb[.]com[.]br
    • bmg[.]novicus[.]net
    • iwhost4[.]axxesslocal[.]co[.]za
    • vps-4521926[.]tushosttwo[.]com[.]br
    • mcbain0013[.]email[.]locaweb[.]com[.]br
    • bartf0018[.]email[.]locaweb[.]com[.]br
    • mailout-140[.]cbxnet[.]de
    • mail[.]diakonie-katastrophenhilfe[.]org
    • mcbain0004[.]email[.]locaweb[.]com[.]br
    • hm1480-34[.]locaweb[.]com[.]br
  • Correos:
    • geovani@aramepar[.]com[.]br
    • creditors@moolas[.]co[.]za
    • c6@hahncollections[.]co[.]za
    • adm@drogaelba[.]com[.]br
    • andreia@gcct[.]com[.]br
    • lavie[.]maisha@diakonie-katastrophenhilfe[.]org
    • rmakoni@necbanking[.]co[.]zw
    • julio@pavesi[.]com[.]br
    • d[.]velickovic@sbb[.]rs
    • shailesh@royalgroupkenya[.]com
    • senna@brokersimoveisp[.]com[.]br
    • coordenacaocompras@hoteismabu[.]com[.]br
    • info@kmpdc[.]go[.]ke
  • URLs:
    • hxxp[:]//loungegangnam[.]com/4W/dz/
    • hxxp[:]//indyoverheaddoors[.]com/wp-includes/pZ/
    • hxxp[:]//geoffoglemusic[.]com/wp-admin/w/
    • hxxp[:]//giral2[.]com/wp-includes/0e/
    • hxxps[:]//www[.]lunalysis[.]com/wordpress/syb/
    • hxxp[:]//farli[.]com/cgi-bin/jK/
    • hxxp[:]//goldcoastoffice365[.]com/temp/wQ/
    • hxxps[:]//samaritantec[.]com/wp-includes/3JL/
    • hxxp[:]//kurukshetramvedicsociety[.]com/css/i/
    • hxxp[:]//familiachickenargentina[.]com/cgi-bin/waj/
    • hxxp[:]//swapnadevelopers[.]com/temp/ZnO/
    • hxxps[:]//shkglobalhealth[.]org/termo/F/
    • hxxp[:]//todaymailbox[.]com/cgi-bin/V/
    • hxxp[:]//www[.]olgamarchenkova[.]com/wp-content/r/
    • hxxp[:]//schickle[.]org/cgi-bin/file/WkNEqjyvmgM/
    • hxxp[:]//xxfreshxx[.]de/bike/file/mRB/
    • hxxp[:]//westerndata[.]com[.]au/wp-includes/VTgoqii6r411691/
    • hxxp[:]//weierstrass[.]de/Elch/file/XQrH/
    • hxxp[:]//westend-zoo[.]de/Bavaria/n9HCzf27r6wj6977/
    • hxxp[:]//wasilewski-online[.]de/bilder/aqwtirl95549612/
    • hxxp[:]//wetzi[.]de/cgi-bin/file/heLeDqESyV/
    • hxxp[:]//blessingstorehn[.]com/2hqq/aD9/
    • hxxp[:]//ontheknoll[.]com/js/Xac/
    • hxxps[:]//www[.]nilkanthglobal[.]com/img/B/
    • hxxps[:]//nairaproject[.]com/law/3a/
    • hxxp[:]//oz958bpweb[.]net/vodi/wp-admin/p/
    • hxxps[:]//oxeye-wpinfinitylabz[.]com/wp-content/uploads/2019/VE/
    • hxxps[:]//toprakmedia[.]com/wp-includes/RBJ/
    • hxxp[:]//bonillayunes[.]com/wp-includes/6qX/
    • hxxp[:]//bolsasmariabonita[.]com/wp-includes/JN4/
    • hxxps[:]//baoxehoi[.]net/wp-content/MR/
    • hxxps[:]//novofamalicaotaxis[.]com/wp-includes/b7/
    • hxxp[:]//renewalpractices[.]com/wp-content/Kx/
    • hxxps[:]//dayupseed[.]net/wp-includes/2Be/
    • hxxp[:]//wininin[.]com/oauth/w/
    • hxxp[:]//vstbar[.]com
    • hxxp[:]//binarywebtechsolutions[.]com
    • hxxp[:]//shahqutubuddin[.]org
    • hxxp[:]//cybersign-001-site5[.]gtempurl[.]com
    • hxxp[:]//star-speed[.]vip
    • hxxp[:]//treneg[.]com[.]br
    • hxxp[:]//cimsjr[.]com
    • hxxp[:]//112[.]175[.]184[.]99/4w/dz/
    • hxxp[:]//173[.]199[.]170[.]88/wp-includes/pZ/

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Evitar descargar o ejecutar archivos adjuntos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Mantener actualizadas las firmas de los antivirus y los sistemas operativos.
  • Concientizar al personal de las organizaciones respecto a este tipo de campañas.

Referencias