Un breve resumen de lo sucedido con Emotet desde su comeback en noviembre de 2021
Emotet es una familia de malware activa desde 2014, operada por un grupo de ciberdelincuencia conocido como Mealybug o TA542. Aunque comenzó como un troyano bancario, más tarde se convirtió en una red de bots que se convirtió en una de las amenazas más frecuentes en todo el mundo. Emotet se propaga a través de correos electrónicos no deseados; puede filtrar información y entregar malware de terceros a las computadoras comprometidas. Los operadores de Emotet no son muy exigentes con sus objetivos, ya que instalan su malware en sistemas que pertenecen a individuos, empresas y organizaciones más grandes.
En enero de 2021, Emotet fue objeto de un takedown como resultado de un esfuerzo de colaboración internacional de ocho países coordinados por Eurojust y Europol. Sin embargo, a pesar de esta operación, Emotet volvió a la vida en noviembre de 2021.
- Emotet lanzó múltiples campañas de spam desde que reapareció después de su desmantelamiento.
- Desde entonces, Mealybug creó varios módulos nuevos y actualizó y mejoró varias veces todos los módulos existentes.
- Posteriormente, los operadores de Emotet han hecho un gran esfuerzo para evitar el monitoreo y el seguimiento de la red de bots desde que regresó.
- Actualmente, Emotet está silencioso e inactivo, muy probablemente debido a que no se pudo encontrar un nuevo vector de ataque efectivo.
Figura 1. Cronología de eventos interesantes de Emotet desde su regreso
Campañas de spam
Después del regreso seguido de múltiples campañas de spam a fines de 2021, el comienzo de 2022 continuó con estas tendencias y nos registramos múltiples campañas de spam lanzadas por los operadores de Emotet. Durante este tiempo, Emotet se propagaba principalmente a través de documentos maliciosos de Microsoft Word y Microsoft Excel con macros VBA integradas.
En julio de 2022, Microsoft cambió el juego para todas las familias de malware como Emotet y Qbot, que habían utilizado correos electrónicos de phishing con documentos maliciosos como método de propagación, al deshabilitar macros VBA en documentos obtenidos de Internet. Este cambio fue anunció por Microsoft a principios de año y se implementó originalmente a principios de abril, pero la actualización se revirtió debido a los comentarios de los usuarios. El lanzamiento final se produjo a fines de julio de 2022 y, como se puede ver en la Figura 2, la actualización resultó en una caída significativa en los compromisos de Emotet; no observamos ninguna actividad significativa durante el verano de 2022.
Figura 2. Tendencia de detección de Emotet, media móvil de siete días
Deshabilitar el principal vector de ataque de Emotet hizo que sus operadores buscaran nuevas formas de comprometer sus objetivos. Cochinilla comencé a experimentar con archivos LNK y XLL maliciosos, pero cuando finalizaba el año 2022, los operadores de Emotet lucharon por encontrar un nuevo vector de ataque que fuera tan efectivo como lo habían sido las macros de VBA. En 2023, realizaron tres campañas de malspam distintivas, cada una de las cuales probó una vía de intrusión y una técnica de ingeniería social ligeramente diferentes. Sin embargo, el tamaño cada vez menor de los ataques y los cambios constantes en el enfoque pueden sugerir insatisfacción con los resultados.
La primera de esas tres campañas sucedió alrededor del 8 de marzo.thde 2023, cuando la botnet Emotet comenzó a distribuir documentos de Word, enmascarados como facturas, con macros VBA maliciosas incrustadas. Esto fue bastante extraño porque Microsoft deshabilitó las macros de VBA de forma predeterminada, por lo que las víctimas no podían ejecutar código malicioso incrustado.
En su segunda campaña entre el 13 de marzoth y 18 de marzoth, los atacantes aparentemente reconocieron estas fallas y, además de usar el enfoque de la cadena de respuesta, también cambiaron las macros de VBA por los archivos de OneNote (ONE) con VBScripts integrados. Si las víctimas abrían el archivo, eran recibidos por lo que parecía una página protegida de OneNote, pidiéndoles que hicieran clic en el botón Ver para ver el contenido. Detrás de este elemento gráfico había un VBScript oculto, configurado para descargar la DLL de Emotet.
A pesar de una advertencia de OneNote de que esta acción podría conducir a contenido malicioso, las personas tienden a hacer clic en indicaciones similares por costumbre y, por lo tanto, pueden permitir que los atacantes comprometan sus dispositivos.
La última campaña observada en telemetría de ESET se lanzó el 20 de marzoth, aprovechando la próxima fecha de vencimiento del impuesto sobre la renta en los Estados Unidos. Los correos electrónicos maliciosos enviados por la botnet pretendían provenir de la oficina de impuestos de EE. UU. Servicio de Rentas Internas (IRS) y llevaban un archivo adjunto llamado W-9 form.zip. El archivo ZIP incluido contenía un documento de Word con una macro VBA maliciosa incrustada que la víctima probablemente tuvo que habilitar. Aparte de esta campaña, dirigida específicamente a los EE. UU., también observamos otra campaña que usaba VBScripts integrados y el enfoque de OneNote que estaba en marcha al mismo tiempo.
Como se puede ver en la Figura 3, la mayoría de los ataques detectados por ESET estaban dirigidos a Japón (43 %), Italia (13 %), aunque estas cifras pueden estar sesgadas por la sólida base de usuarios de ESET en estas regiones. Después de eliminar esos dos primeros países (para centrarnos en el resto del mundo), en la Figura 4 se puede ver que el resto del mundo también se vio afectado, con España (5%) en el tercer lugar seguido de México (5%). %) y Sudáfrica (4%).
Figura 3. Detecciones de Emotet de enero de 2022 a junio de 2023
Figura 4. Detecciones de Emotet de enero de 2022 a junio de 2023 (JP e IT excluidos)
Protección mejorada y ofuscaciones
Después de su reaparición, Emotet obtuvo múltiples actualizaciones. La primera característica notable es que la botnet cambió su esquema criptográfico. Antes del desmantelamiento, Emotet usaba RSA como su esquema asimétrico principal y, después de la reaparición, la red de bots comenzó a usar criptografía de curva elíptica. Actualmente, cada módulo Downloader (también llamado módulo principal) viene con dos claves públicas integradas. Uno se usa para el protocolo de intercambio de claves Diffie Hellman de curva elíptica y el otro se usa para una verificación de firma: algoritmo de firma digital.
Además de actualizar el malware Emotet a la arquitectura de 64 bits, Mealybug también ha implementado múltiples ofuscaciones nuevas para proteger sus módulos. La primera ofuscación notable es el aplanamiento del flujo de control, que puede ralentizar significativamente el análisis y localizar partes interesantes del código en los módulos de Emotet.
Mealybug también implementó y mejoró su implementación de muchas técnicas de aleatorización, de las cuales las más notables son la aleatorización del orden de los miembros de la estructura y la aleatorización de instrucciones que calculan constantes (las constantes están enmascaradas).
Una actualización más que vale la pena mencionar ocurrió durante el último trimestre de 2022, cuando los módulos comenzaron a usar colas de temporizador. Con ellos, la función principal de los módulos y la parte de comunicación de los módulos se establecieron como una función de devolución de llamada, que es invocada por múltiples subprocesos y todo esto se combina con el aplanamiento del flujo de control, donde el valor de estado que administra qué bloque de código es a invocar se comparte entre los subprocesos. Esta ofuscación se suma a otro obstáculo en el análisis y dificulta aún más el seguimiento del flujo de ejecución.
Nuevos módulos
Para seguir siendo un malware rentable y prevalente, Mealybug implementó varios módulos nuevos, que se muestran en amarillo en la Figura 5. Algunos de ellos se crearon como un mecanismo defensivo para la botnet, otros para una propagación más eficiente del malware y, por último, pero no menos importante, un módulo que roba información que puede ser utilizada para robar el dinero de la víctima.
Figura 5. Módulos más utilizados de Emotet. Red existía antes del derribo; amarillo apareció después de la remontada
Thunderbird Email Stealer y Thunderbird Contact Stealer
Emotet se propaga a través de correos electrónicos no deseados y las personas a menudo confían en esos correos electrónicos, porque Emotet utiliza con éxito una técnica de secuestro de hilos de correo electrónico. Antes del cierre, Emotet usó módulos que llamamos Outlook Contact Stealer y Outlook Email Stealer, que eran capaces de robar correos electrónicos e información de contacto de Outlook. Pero debido a que no todos usan Outlook, después del derribo, Emotet también se centró en una aplicación de correo electrónico alternativa gratuita: Thunderbird.
Emotet puede implementar un módulo Thunderbird Email Stealer en la computadora comprometida, que (como sugiere el nombre) es capaz de robar correos electrónicos. El módulo busca a través de los archivos de Thunderbird que contienen mensajes recibidos (en formato MBOX) y roba datos de múltiples campos, incluidos el remitente, los destinatarios, el asunto, la fecha y el contenido del mensaje. Toda la información robada se envía luego a un servidor C&C para su posterior procesamiento.
Junto con Thunderbird Email Stealer, Emotet también implementa Thunderbird Contact Stealer, que es capaz de robar información de contacto de Thunderbird. Este módulo también busca a través de los archivos de Thunderbird, esta vez buscando mensajes recibidos y enviados. La diferencia es que este módulo simplemente extrae información del Desde:, A:, CC: y Cc: campos y crea un gráfico interno de quién se comunicó con quién, donde los nodos son personas y hay una ventaja entre dos personas si se comunican entre sí. En el siguiente paso, el módulo ordena los contactos robados -empezando por las personas más interconectadas- y envía esta información a un servidor C&C.
Todo este esfuerzo se complementa con dos módulos adicionales (que ya existían antes del desmantelamiento): el módulo MailPassView Stealer y el módulo Spammer. MailPassView Stealer abusa de una herramienta legítima de NirSoft para recuperar contraseñas y roba credenciales de aplicaciones de correo electrónico. Cuando se procesan correos electrónicos robados, credenciales e información sobre quién está en contacto con quién, Mealybug crea correos electrónicos maliciosos que parecen una respuesta a conversaciones robadas anteriormente y envía esos correos electrónicos junto con las credenciales robadas a un módulo Spammer que usa esas credenciales para enviar respuestas maliciosas a conversaciones de correo electrónico anteriores a través de SMTP.
Ladrón de tarjetas de crédito de Google Chrome
Como sugiere el nombre, Google Chrome Credit Card Stealer roba información sobre las tarjetas de crédito almacenadas en el navegador Google Chrome. Para lograr esto, el módulo utiliza una biblioteca SQLite3 vinculada estáticamente para acceder al archivo de la base de datos de datos web que generalmente se encuentra en %LOCALAPPDATA%GoogleChromeDatos de usuarioDatos web predeterminados. El módulo consulta la tabla. tarjetas de crédito para nombre_de_la_tarjeta, mes de expiración, año_de_caducidady número_de_tarjeta_cifrado, que contiene información sobre las tarjetas de crédito guardadas en el perfil predeterminado de Google Chrome. En el último paso, el valor card_number_encrypted se descifra utilizando la clave almacenada en el %LOCALAPPDATA%GoogleChromeUser DataArchivo de estado local y toda la información se envía a un servidor C&C.
Módulos Systeminfo y Hardwareinfo
Poco después del regreso de Emotet, en noviembre de 2021 apareció un nuevo módulo al que llamamos Systeminfo. Este módulo recopila información sobre un sistema comprometido y la envía al servidor de C&C. La información recopilada consiste en:
- Salida del systeminfo comando
- Salida del ipconfig / all comando
- Salida del más reciente /dclista: comando (eliminado en octubre de 2022)
- Lista de procesos
- Tiempo de actividad (obtenido a través de Gettickcount) en segundos (eliminado en octubre de 2022)
In Octubre 2022 Los operadores de Emotet lanzaron otro nuevo módulo que llamamos Hardwareinfo. Si bien no roba información exclusivamente sobre el hardware de una máquina comprometida, sirve como fuente de información complementaria al módulo Systeminfo. Este módulo recopila los siguientes datos de la máquina comprometida:
- nombre del equipo
- Usuario
- Información de la versión del sistema operativo, incluidos los números de versión principal y secundaria
- ID de sesión
- Cadena de marca de CPU
- Información sobre el tamaño y el uso de la RAM
Ambos módulos tienen un propósito principal: verificar si la comunicación proviene de una víctima legítimamente comprometida o no. Emotet fue, especialmente después de su regreso, un tema realmente candente en la industria de la seguridad informática y entre los investigadores, por lo que Mealybug hizo todo lo posible para protegerse del seguimiento y la supervisión de sus actividades. Gracias a la información recopilada por estos dos módulos que no solo recopilan datos, sino que también contienen trucos anti-seguimiento y anti-análisis, las capacidades de Mealybug para distinguir a las víctimas reales de las actividades o sandboxes de los investigadores de malware mejoraron significativamente.
¿Qué es lo siguiente?
Según la investigación y la telemetría de ESET, ambas épocas de la botnet han estado tranquilas desde principios de abril de 2023. Actualmente no está claro si este es otro tiempo de vacaciones para los autores, si luchan por encontrar un nuevo vector de infección efectivo o si hay alguien nuevo operando la botnet.
Aunque no podemos confirmar los rumores de que uno o ambos Epoch de la botnet se vendieron a alguien en enero de 2023, notamos una actividad inusual en uno de los Epoch. La actualización más reciente del módulo de descarga contenía una nueva funcionalidad, que registra los estados internos del módulo y rastrea su ejecución en un archivo. C:JSmithLoader (Figura 6, Figura 7). Debido a que este archivo debe existir para registrar algo, esta funcionalidad parece una salida de depuración para alguien que no entiende completamente lo que hace el módulo y cómo funciona. Además, en ese momento, la botnet también estaba difundiendo ampliamente los módulos Spammer, que se consideran más preciados para Mealybug porque históricamente usaban estos módulos solo en máquinas que consideraban seguras.
Figura 6. Registro de comportamiento del módulo de descarga
Figura 7. Registro de comportamiento del módulo de descarga
Cualquiera que sea la explicación de por qué la red de bots está silenciosa ahora es cierta, Emotet ha sido conocido por su efectividad y sus operadores hicieron un esfuerzo para reconstruir y mantener la red de bots e incluso agregar algunas mejoras, así que siga nuestro blog para ver qué traerá el futuro. a nosotros.
ESET Research ofrece fuentes de datos e informes de inteligencia APT privados. Para cualquier consulta sobre este servicio, visite el Inteligencia de amenazas de ESET .
IoC
archivos
| SHA-1 | Nombre del archivo | Nombre de detección de ESET | Descripción |
|---|---|---|---|
| D5FDE4A0DF9E416DE02AE51D07EFA8D7B99B11F2 | N/A | Win64/Emotet.AL | Módulo de información del sistema de Emotet. |
| 1B6CFE35EF42EB9C6E19BCBD5A3829458C856DBC | N/A | Win64/Emotet.AL | Módulo de información de hardware de Emotet. |
| D938849F4C9D7892CD1558C8EDA634DADFAD2F5A | N/A | Win64/Emotet.AO | Módulo Emotet Google Chrome Credit Card Stealer. |
| 1DF4561C73BD35E30B31EEE62554DD7157AA26F2 | N/A | Win64/Emotet.AL | Módulo Emotet Thunderbird Email Stealer. |
| 05EEB597B3A0F0C7A9E2E24867A797DF053AD860 | N/A | Win64/Emotet.AL | Módulo Emotet Thunderbird Contact Stealer. |
| 0CEB10940CE40D1C26FC117BC2D599C491657AEB | N/A | Win64/Emotet.AQ | Módulo Emotet Downloader, versión con ofuscación de la cola del temporizador. |
| 8852B81566E8331ED43AB3C5648F8D13012C8A3B | N/A | Win64/Emotet.AL | Módulo Emotet Downloader, versión x64. |
| F2E79EC201160912AB48849A5B5558343000042E | N/A | Win64/Emotet.AQ | Módulo Emotet Downloader, versión con cadenas de depuración. |
| CECC5BBA6193D744837E689E68BC25C43EDA7235 | N/A | Win32/Emotet.DG | Módulo Emotet Downloader, versión x86. |
Nuestra red
| IP | Dominio | Proveedor de alojamiento | visto por primera vez | Detalles |
|---|---|---|---|---|
| 1.234.2[.]232 | N/A | SK Banda Ancha Co Ltd | N/A | N/A |
| 1.234.21[.]73 | N/A | SK Banda Ancha Co Ltd | N/A | N/A |
| 5.9.116[.]246 | N/A | Hetzner en línea Ltd | N/A | N/A |
| 5.135.159[.]50 | N/A | OVH SAS | N/A | N/A |
| 27.254.65[.]114 | N/A | CS LOXINFO Sociedad Anónima Pública Limitada. | N/A | N/A |
| 37.44.244[.]177 | N/A | Hostinger internacional limitada | N/A | N/A |
| 37.59.209[.]141 | N/A | Abuso-C Rol | N/A | N/A |
| 37.187.115[.]122 | N/A | OVH SAS | N/A | N/A |
| 45.71.195[.]104 | N/A | NET ALTERNATIVA PROVEEDOR DE INTERNET LTDA – ME | N/A | N/A |
| 45.79.80[.]198 | N/A | Linode | N/A | N/A |
| 45.118.115[.]99 | N/A | Asep Bambang Gunawan | N/A | N/A |
| 45.176.232[.]124 | N/A | CABLE Y TELECOMUNICACIONES DE COLOMBIA SAS (CABLETELCO) | N/A | N/A |
| 45.235.8[.]30 | N/A | WIKINET TELECOMUNICACIONES | N/A | N/A |
| 46.55.222[.]11 | N/A | DCC | N/A | N/A |
| 51.91.76[.]89 | N/A | OVH SAS | N/A | N/A |
| 51.161.73[.]194 | N/A | OVH SAS | N/A | N/A |
| 51.254.140[.]238 | N/A | Abuso-C Rol | N/A | N/A |
| 54.37.106[.]167 | N/A | OVH SAS | N/A | N/A |
| 54.37.228[.]122 | N/A | OVH SAS | N/A | N/A |
| 54.38.242[.]185 | N/A | OVH SAS | N/A | N/A |
| 59.148.253[.]194 | N/A | ANFITRIÓN DE CTINETS | N/A | N/A |
| 61.7.231[.]226 | N/A | Red IP CAT Telecom | N/A | N/A |
| 61.7.231[.]229 | N/A | La Autoridad de Comunicaciones de Tailandia, CAT | N/A | N/A |
| 62.171.178[.]147 | N/A | Contabo GmbH | N/A | N/A |
| 66.42.57[.]149 | N/A | La compañía constante, LLC | N/A | N/A |
| 66.228.32[.]31 | N/A | Linode | N/A | N/A |
| 68.183.93[.]250 | N/A | DigitalOcean, LLC | N/A | N/A |
| 72.15.201[.]15 | N/A | Flexencial Colorado Corp. | N/A | N/A |
| 78.46.73[.]125 | N/A | Hetzner Online GmbH – Función de contacto, ORG-HOA1-RIPE | N/A | N/A |
| 78.47.204[.]80 | N/A | Hetzner en línea Ltd | N/A | N/A |
| 79.137.35[.]198 | N/A | OVH SAS | N/A | N/A |
| 82.165.152[.]127 | N/A | 1 y 1 IONOS SE | N/A | N/A |
| 82.223.21[.]224 | N/A | IONOS SE | N/A | N/A |
| 85.214.67[.]203 | N/A | estrato inc | N/A | N/A |
| 87.106.97[.]83 | N/A | IONOS SE | N/A | N/A |
| 91.121.146[.]47 | N/A | OVH SAS | N/A | N/A |
| 91.207.28[.]33 | N/A | Óptima Telecom Ltd. | N/A | N/A |
| 93.104.209[.]107 | N/A | Extensión MNET | N/A | N/A |
| 94.23.45[.]86 | N/A | OVH SAS | N/A | N/A |
| 95.217.221[.]146 | N/A | Hetzner en línea Ltd | N/A | N/A |
| 101.50.0[.]91 | N/A | PT. beon intermedia | N/A | N/A |
| 103.41.204[.]169 | N/A | Sistema PT Infinys Indonesia | N/A | N/A |
| 103.43.75[.]120 | N/A | Administrador de Choopa LLC | N/A | N/A |
| 103.63.109[.]9 | N/A | Nguyen Nhu Thanh | N/A | N/A |
| 103.70.28[.]102 | N/A | Nguyen Thi Oanh | N/A | N/A |
| 103.75.201[.]2 | N/A | IRT-CDNPLUSCOLTD-TH | N/A | N/A |
| 103.132.242[.]26 | N/A | Red de Ishan | N/A | N/A |
| 104.131.62[.]48 | N/A | DigitalOcean, LLC | N/A | N/A |
| 104.168.155[.]143 | N/A | Hostwinds LLC. | N/A | N/A |
| 104.248.155[.]133 | N/A | DigitalOcean, LLC | N/A | N/A |
| 107.170.39[.]149 | N/A | DigitalOcean, LLC | N/A | N/A |
| 110.232.117[.]186 | N/A | RackCorp | N/A | N/A |
| 115.68.227[.]76 | N/A | SONRISASERV | N/A | N/A |
| 116.124.128[.]206 | N/A | IRT-KRNIC-KR | N/A | N/A |
| 116.125.120[.]88 | N/A | IRT-KRNIC-KR | N/A | N/A |
| 118.98.72[.]86 | N/A | PT Telkom Indonesia APNIC Gestión de recursos | N/A | N/A |
| 119.59.103[.]152 | N/A | 453 Ladplacout Jorakhaebua | N/A | N/A |
| 119.193.124[.]41 | N/A | Administrador de PI | N/A | N/A |
| 128.199.24[.]148 | N/A | DigitalOcean, LLC | N/A | N/A |
| 128.199.93[.]156 | N/A | DigitalOcean, LLC | N/A | N/A |
| 128.199.192[.]135 | N/A | DigitalOcean, LLC | N/A | N/A |
| 129.232.188[.]93 | N/A | Xneelo (Pty) Ltd | N/A | N/A |
| 131.100.24[.]231 | N/A | EVEO SA | N/A | N/A |
| 134.122.66[.]193 | N/A | DigitalOcean, LLC | N/A | N/A |
| 139.59.56[.]73 | N/A | DigitalOcean, LLC | N/A | N/A |
| 139.59.126[.]41 | N/A | Administrador de Digital Ocean Inc. | N/A | N/A |
| 139.196.72[.]155 | N/A | Hangzhou Alibaba Publicidad Co., Ltd. | N/A | N/A |
| 142.93.76[.]76 | N/A | DigitalOcean, LLC | N/A | N/A |
| 146.59.151[.]250 | N/A | OVH SAS | N/A | N/A |
| 146.59.226[.]45 | N/A | OVH SAS | N/A | N/A |
| 147.139.166[.]154 | N/A | Alibaba (EE. UU.) Technology Co., Ltd. | N/A | N/A |
| 149.56.131[.]28 | N/A | OVH SAS | N/A | N/A |
| 150.95.66[.]124 | N/A | Administrador de GMO Internet Inc. | N/A | N/A |
| 151.106.112[.]196 | N/A | Hostinger internacional limitada | N/A | N/A |
| 153.92.5[.]27 | N/A | Hostinger internacional limitada | N/A | N/A |
| 153.126.146[.]25 | N/A | IRT-JPNIC-JP | N/A | N/A |
| 159.65.3[.]147 | N/A | DigitalOcean, LLC | N/A | N/A |
| 159.65.88[.]10 | N/A | DigitalOcean, LLC | N/A | N/A |
| 159.65.140[.]115 | N/A | DigitalOcean, LLC | N/A | N/A |
| 159.69.237[.]188 | N/A | Hetzner Online GmbH – Función de contacto, ORG-HOA1-RIPE | N/A | N/A |
| 159.89.202[.]34 | N/A | DigitalOcean, LLC | N/A | N/A |
| 160.16.142[.]56 | N/A | IRT-JPNIC-JP | N/A | N/A |
| 162.243.103[.]246 | N/A | DigitalOcean, LLC | N/A | N/A |
| 163.44.196[.]120 | N/A | GMO-Z con NetDesign Holdings Co., Ltd. | N/A | N/A |
| 164.68.99[.]3 | N/A | Contabo GmbH | N/A | N/A |
| 164.90.222[.]65 | N/A | DigitalOcean, LLC | N/A | N/A |
| 165.22.230[.]183 | N/A | DigitalOcean, LLC | N/A | N/A |
| 165.22.246[.]219 | N/A | DigitalOcean, LLC | N/A | N/A |
| 165.227.153[.]100 | N/A | DigitalOcean, LLC | N/A | N/A |
| 165.227.166[.]238 | N/A | DigitalOcean, LLC | N/A | N/A |
| 165.227.211[.]222 | N/A | DigitalOcean, LLC | N/A | N/A |
| 167.172.199[.]165 | N/A | DigitalOcean, LLC | N/A | N/A |
| 167.172.248[.]70 | N/A | DigitalOcean, LLC | N/A | N/A |
| 167.172.253[.]162 | N/A | DigitalOcean, LLC | N/A | N/A |
| 168.197.250[.]14 | N/A | Omar Anselmo Ripoll (TDC NET) | N/A | N/A |
| 169.57.156[.]166 | N/A | SoftLayer | N/A | N/A |
| 172.104.251[.]154 | N/A | Nube conectada de Akamai | N/A | N/A |
| 172.105.226[.]75 | N/A | Nube conectada de Akamai | N/A | N/A |
| 173.212.193[.]249 | N/A | Contabo GmbH | N/A | N/A |
| 182.162.143[.]56 | N/A | IRT-KRNIC-KR | N/A | N/A |
| 183.111.227[.]137 | N/A | Corea telecom | N/A | N/A |
| 185.4.135[.]165 | N/A | ENARTIA Miembro Único SA | N/A | N/A |
| 185.148.168[.]15 | N/A | Abuso-C Rol | N/A | N/A |
| 185.148.168[.]220 | N/A | Abuso-C Rol | N/A | N/A |
| 185.168.130[.]138 | N/A | NOC de GigaCloud | N/A | N/A |
| 185.184.25[.]78 | N/A | MUV Bilisim ve Telekomunikasyon Hizmetleri Ltd. Sti. | N/A | N/A |
| 185.244.166[.]137 | N/A | Jan Philipp Waldecker comercializa como LUMASERV Systems | N/A | N/A |
| 186.194.240[.]217 | N/A | SEMPRE TELECOMUNICACIONES LTDA | N/A | N/A |
| 187.63.160[.]88 | N/A | BITCOM PROVEEDOR DE SERVICIOS DE INTERNET LTDA | N/A | N/A |
| 188.44.20[.]25 | N/A | Empresa de servicios de comunicaciones A1 Makedonija DOOEL Skopje | N/A | N/A |
| 190.90.233[.]66 | N/A | INTERNEXA Brasil Operadora de Telecomunicaciones SA | N/A | N/A |
| 191.252.103[.]16 | N/A | Locaweb Servicios de Internet S/A | N/A | N/A |
| 194.9.172[.]107 | N/A | Abuso-C Rol | N/A | N/A |
| 195.77.239[.]39 | N/A | TELEFÓNICA DE ESPAÑA SAU | N/A | N/A |
| 195.154.146[.]35 | N/A | Abuso de Scaleway, ORG-ONLI1-RIPE | N/A | N/A |
| 196.218.30[.]83 | N/A | Función de contacto de datos de TE | N/A | N/A |
| 197.242.150[.]244 | N/A | Afrihost (Pty) Ltd | N/A | N/A |
| 198.199.65[.]189 | N/A | DigitalOcean, LLC | N/A | N/A |
| 198.199.98[.]78 | N/A | DigitalOcean, LLC | N/A | N/A |
| 201.94.166[.]162 | N/A | Claro NXT Telecomunicaciones Ltda. | N/A | N/A |
| 202.129.205[.]3 | N/A | TECNOLOGÍA CO., LTD DE NIPA | N/A | N/A |
| 203.114.109[.]124 | N/A | IRT-TOT-TH | N/A | N/A |
| 203.153.216[.]46 | N/A | Iswadi Iswadi | N/A | N/A |
| 206.189.28[.]199 | N/A | DigitalOcean, LLC | N/A | N/A |
| 207.148.81[.]119 | N/A | La compañía constante, LLC | N/A | N/A |
| 207.180.241[.]186 | N/A | Contabo GmbH | N/A | N/A |
| 209.97.163[.]214 | N/A | DigitalOcean, LLC | N/A | N/A |
| 209.126.98[.]206 | N/A | GoDaddy.com, LLC | N/A | N/A |
| 210.57.209[.]142 | N/A | Andri Tamtrijanto | N/A | N/A |
| 212.24.98[.]99 | N/A | interneto vizija | N/A | N/A |
| 213.239.212[.]5 | N/A | Hetzner en línea Ltd | N/A | N/A |
| 213.241.20[.]155 | N/A | Rol de contacto de Netia Telekom SA | N/A | N/A |
| 217.182.143[.]207 | N/A | OVH SAS | N/A | N/A |
Técnicas MITRE ATT & CK
Esta tabla fue construida usando Versión 12 de las técnicas empresariales MITRE ATT&CK.
| Táctica | ID | Nombre | Descripción |
|---|---|---|---|
| Reconocimiento | T1592.001 | Recopilar información del anfitrión de la víctima: hardware | Emotet recopila información sobre el hardware de la máquina comprometida, como la cadena de marca de la CPU. |
| T1592.004 | Recopilar información del host de la víctima: configuraciones del cliente | Emotet recopila información sobre la configuración del sistema, como el ipconfig / all y systeminfo comandos. | |
| T1592.002 | Recopilar información del anfitrión de la víctima: Software | Emotet extrae una lista de procesos en ejecución. | |
| T1589.001 | Recopilar información de identidad de la víctima: Credenciales | Emotet implementa módulos que pueden robar credenciales de navegadores y aplicaciones de correo electrónico. | |
| T1589.002 | Recopilar información de identidad de la víctima: direcciones de correo electrónico | Emotet implementa módulos que pueden extraer direcciones de correo electrónico de aplicaciones de correo electrónico. | |
| Desarrollo de recursos | T1586.002 | Cuentas comprometidas: cuentas de correo electrónico | Emotet compromete las cuentas de correo electrónico y las utiliza para difundir correos electrónicos maliciosos. |
| T1584.005 | Infraestructura comprometida: Botnet | Emotet compromete numerosos sistemas de terceros para formar una botnet. | |
| T1587.001 | Desarrollar capacidades: malware | Emotet consta de múltiples módulos y componentes de malware únicos. | |
| T1588.002 | Obtenga capacidades: herramienta | Emotet usa herramientas de NirSoft para robar credenciales de máquinas infectadas. | |
| Acceso inicial | T1566 | Phishing | Emotet envía correos electrónicos de phishing con archivos adjuntos maliciosos. |
| T1566.001 | Phishing: archivo adjunto de spearphishing | Emotet envía correos electrónicos de phishing con archivos adjuntos maliciosos. | |
| Ejecución | T1059.005 | Intérprete de comandos y secuencias de comandos: Visual Basic | Se ha visto a Emotet usando documentos de Microsoft Word que contienen macros VBA maliciosas. |
| T1204.002 | Ejecución del usuario: archivo malicioso | Emotet ha confiado en que los usuarios abren archivos adjuntos de correo electrónico maliciosos y ejecutan scripts incrustados. | |
| Evasión de defensa | T1140 | Desofuscar / decodificar archivos o información | Los módulos de Emotet usan cadenas encriptadas y sumas de verificación enmascaradas de nombres de funciones de API. |
| T1027.002 | Archivos o información ofuscados: paquete de software | Emotet utiliza empacadores personalizados para proteger sus cargas útiles. | |
| T1027.007 | Archivos o información ofuscados: resolución de API dinámica | Emotet resuelve las llamadas a la API en tiempo de ejecución. | |
| Acceso a credenciales | T1555.003 | Credenciales de almacenes de contraseñas: Credenciales de navegadores web | Emotet adquiere credenciales guardadas en navegadores web abusando de la aplicación WebBrowserPassView de NirSoft. |
| T1555 | Credenciales de almacenes de contraseñas | Emotet es capaz de robar contraseñas de aplicaciones de correo electrónico abusando de la aplicación MailPassView de NirSoft. | |
| Colecciones | T1114.001 | Recopilación de correo electrónico: recopilación de correo electrónico local | Emotet roba correos electrónicos de las aplicaciones Outlook y Thunderbird. |
| Comando y control | T1071.003 | Protocolo de capa de aplicación: Protocolos de correo | Emotet puede enviar correos electrónicos maliciosos a través de SMTP. |
| T1573.002 | Canal cifrado: criptografía asimétrica | Emotet utiliza claves ECDH para cifrar el tráfico de C&C. | |
| T1573.001 | Canal cifrado: criptografía simétrica | Emotet usa AES para encriptar el tráfico de C&C. | |
| T1571 | Puerto no estándar | Se sabe que Emotet se comunica en puertos no estándar como 7080. |
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet/
