TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Robo de información confidencial.

Descripción

Una firma de seguridad identificó una campaña del troyano conocido como “Emotet” del cual se tienen antecedentes desde el 2014. En esta nueva campaña los países de Francia, Japón y Nueva Zelanda reportaron ataques relacionados con Emotet dirigidos a empresas y agencias gubernamentales de sus naciones.

Emotet fue publicado por un grupo de ciberdelincuentes llamado “TA542”, compuesto por una red de 3 servidores (botnets) llamados Epoch1, Epoch2 y Epoch3, cada uno de estos dirigía sus ataques a diferentes países, pero su principal objetivo era Japón.

En esta nueva campaña se utilizan diferentes temas para engañar a la víctima, como facturas fraudulentas, información de COVID-19, documentos financieros; con archivos de Word o enlaces maliciosos adjuntos.

Cuando los usuarios abren los documentos de Word maliciosos, se les solicita habilitar sus macros para poder ver su contenido, sin embargo, además del aviso habitual de Word, aparece un mensaje informando que el documento se creó en “iOS” y que no podrá ser visualizado correctamente a menos que se de clic en un botón. Al hacer esta acción y habilitar el documento se ejecuta una macro maliciosa incrustada, la cual iniciará el proceso de infección e instalará Emotet en el sistema.

Emotet buscará buzones de correo electrónico y mensajes antiguos, para seleccionar uno y enviarlo a distintas direcciones de correo de la cuenta, pero esta vez adjuntando los archivos maliciosos y con ello conseguir propagarse en la organización.

De acuerdo con las investigaciones realizadas, Emotet es utilizado para entregar otro tipo de códigos maliciosos como el troyano Trickbot y QBot o bien, el ransomware Conti o ProLock.

Finalmente es importante mencionar que Emotet tiene como principal objetivo robar información bancaria y en estos años ha afectado a muchos países en el mundo, como son Alemania, Austria, Suiza, Estados Unidos, Filipinas, Indonesia, Reino Unido, Japón, Suecia, India y varios países de América Latina.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Buzones de correo electrónico de Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail y Gmail.

Medidas de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • SHA-256:
    • 576029dbd4166e9d6548f877bea422da5d7a07adfc5ca60c93dabbecfab3d6c7
    • 0b2d1270ce2c5950f73ef209a08ad8e32c583e83d076509be956353bf828f03b
    • e999fcc1edd2cc05f82a63d4c32cc7a6fbc0fbd12de2ee82dfdd857a8a15c403
    • fdfa54ad4c15993944cdde7e9c37f9191c3e8eeff0e93b2c14a5973caa4dbeba
    • 7bf42580bf8ef469a1501e53d66220542e51cc4e5af7d24e97dbc34ffe2072c2
    • a39c9be9acaec5e804aed2b79f937bf7e5ed6ac7220c71ca2c66decf26388cd9
    • a85780b23d01cb41db6f387e8351606361669bca4f669c869dee61a81333909a
    • b2d115a104c08eab952fc2bf342369307b89007fe24496c20378a422facb6341
    • cfb7d981b4782a468013b79d888ddb120b3166d4e0f2f1c4badb257ae0d233d4
    • 02638706a6e9bdc4d62fe6d0aed441c95b19f66b4647b5e9a0aded18c17c1a64
    • 7ca48480ca645ee2b83bf707893e84115f87ea6e327f369e40c4ab0afc8abe7a

Medidas de conteción

  • Evitar descargar archivos adjuntos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Identificar los equipos internos que tengan actividad relacionada con la actividad maliciosa notificada y realizar un análisis a mayor profundidad.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Concientizar a los empleados sobre ingeniería social y phishing.

Referencias