Esta semana ha comenzado otra campaña del ya famoso EMOTET. Se
distribuye en grandes campañas de phishing y spam personalizado en varios idiomas
y con diferentes tipos de archivos adjuntos.
Estás campañas que suelen ser cada 2/3 meses cambian
continuamente, los delincuentes que se hallen tras de EMOTET utilizan
diferentes señuelos de phishing y engaños de ingeniería social, con el objetivo
de que el usuario inicie el documento .DOC adjunto.
Below, vamos a detallar el procedimiento que sigue
está nueva campaña:
El usuario recibe un correo electrónico, por norma general
el correo está en el idioma nativo del usuario y de un contacto conocido. The
contacto que utilizan es muy similar, pero si uno presta atención se da cuenta
de que no es el mismo exactamente, para falsificar el origen del correo los atacantes
utilizan técnicas de spoofing.
Dentro del correo encontramos un archivo adjunto .ZIP
cifrado, la contraseña para descifrar el archivo se encuentra en el propio cuerpo
del mensaje. Este mismo hecho indica de la campaña de EMOTET, donde el archivo .ZIP
está cifrado con una contraseña numérica de 3 dígitos.
En el archivo .ZIP encontramos dentro un archivo DOC. Dentro
de este DOC hay una macro VBA fuertemente ofuscada, este es el motivo por el
cual se utiliza un DOC, ya que en los nuevos archivos DOCX ya no está permitido
incorporar dichas macros.
Last, cuando el usuario abre este archivo se ejecuta la
macro, la cual ejecutara comandos del sistema operativo como Powershell, MSG,
CMD etc. Mediante estos comandos se descarga el payload real desde una URL/IP.
En esta campaña el Payload consiste de un DLL que se ejecutara utilizando
RunDLL e infectara al usuario, dentro de este DLL se encontrara el malware, What
puede ser un ransomware u otro tipo de troyano.
