Reportan ciberataque por e-mail este Día de Acción de Gracias

Desde el blog de Forcepoint Security Labs:

 

¡Gracias por dar, Emotet!

 

Recientemente, se ha observado que Emotet – el troyano bancario que se convirtió en una plataforma de distribución de malware – está cambiando su comportamiento de formas interesantes. Después de una pausa de varias semanas, notamos que Emotet regresó a mediados de noviembre con una ofuscación de macros y un nuevo formato. El 19 de noviembre, inició una campaña basada en la celebración del Día de Acción de Gracias que se celebra en Estados Unidos. Como muchos sabrán, esto se aparta de los temas financieros comunes que se ven con regularidad.

 

Gran Cantidad de Felicitaciones por Correo Electrónico.

 

El equipo de Emote ha incluido cuidadosamente algunas palabras festivas sobre el Día de Acción de Gracias en los correos electrónicos que hemos analizado, los cuales han superado los 27,000 durante el periodo comprendido entre las 07:30 horas EST y las 17:00 horas EST.

Figura 1 – Una muestra del contenido de los correos electrónicos

 

 

Macros y Ofuscación.

Esta nueva campaña que aprovecha el tema del Día de Acción de Gracias sigue el patrón normal de un correo electrónico que contiene un documento con macros embebidos, los cuales llevan a un programa de descarga PowerShell para la carga dañina de Emotet.

 

Sin embargo, en este caso el documento no es un .doc o .docx normal sino un archivo XML que se hace pasar como un .doc, en tanto que el macro utiliza la funcionalidad “Figuras”, la que finalmente lleva a abrir la función shell usando un WindowStyle de vbHide. La sintaxis para la función shell es

 

Shell( pathname, [ windowstyle ] ) donde pathname puede ser un programa o un script. 

 

Figura 2 – El Macro que utiliza Formas

 

El resultado es un comando fuertemente ofuscado, como se muestra a continuación.

 

 

Figura 3 – Comando DOS Ofuscado

 

Cuando se elimina la ofuscación, el comando anterior revela el programa de descarga PowerShell estándar que normalmente observamos con Emotet.

 

 

Figura 4 – Programa de descarga PowerShell

 

Conclusión

A pocas semanas de que Emotet regresara, ha experimentado algunos cambios interesantes, principalmente la inclusión del Día de Acción de Gracias y la ofuscación de macros que se discutió anteriormente. Si bien no es algo nuevo (el uso de archivos XML para ocultar macros fue reportado por Trustwave en 2015), representa un desafío para los encargados de la seguridad debido al enorme volumen de correos electrónicos enviados, pues se tienen que crear rápidamente las firmas de detección necesarias para contener esta oleada.

 

Declaración de Protección

Los clientes de Forcepoint están protegidos contra esta amenaza en las siguientes etapas del ataque:

·         Etapa 3 (Entrega) – Los correos maliciosos se identifican y se bloquean.

·         Etapa 4 (Explotación) – Los archivos adjuntos maliciosos se identifican y se bloquean.

·         Etapa 5 (Archivo dropper) – Los URLs de la carga maliciosa se identifican y se bloquean.

·         Etapa 6 (Call Home) – El tráfico a los nodos C2 se identifican y se bloquean.

 

Acerca de Forcepoint
Forcepoint es una empresa mundial de seguridad cibernética centrada en los humanos. Transforma a las empresas digitales al adaptar la respuesta de seguridad a los riesgos planteados por los usuarios individuales y las máquinas. El sistema Human Point de Forcepoint brinda Protección Adaptada a los Riesgos para garantizar el uso confiable de datos y sistemas. Con sede en Austin, Texas, Forcepoint protege los puntos humanos en miles de clientes corporativos y gubernamentales de más de 150 países. www.forcepointblog.com

Conéctese con Forcepoint en los medios sociales

Facebook: https://www.facebook.com/ForcepointLLC/   

LinkedIn: https://www.linkedin.com/company/forcepoint

Twitter: https://www.twitter.com/forcepointsec  

Instagram: https://www.instagram.com/forcepoint