This website uses cookies. By continuing to browse this website, you accept our use of cookies and our Cookie Policy. Close

Our Blog

¡Gracias por dar, Emotet!

Share

Martes, Nov 20, 2018

Emotet – the banking Trojan turned malware delivery platform – has recently been observed altering its behaviour in some interesting ways. After a hiatus of some weeks, we observed Emotet returning in mid-November with upgraded macro obfuscation and formatting.  On 19 November, it began a US-centric Thanksgiving-themed campaign. As many will know this is a departure from the standard financial themes regularly seen.

Gran Cantidad de Felicitaciones por Correo Electrónico.

El equipo de Emote ha incluido cuidadosamente algunas palabras festivas sobre el Día de Acción de Gracias en los correos electrónicos que hemos analizado, los cuales han superado los 27,000 durante el periodo comprendido entre las 07:30 horas EST y las 17:00 horas EST.

Figura 1 – Una muestra del contenido de los correos electrónicos

Figure 1 - Sample email contents

Macros y Ofuscación.

Esta nueva campaña que aprovecha el tema del Día de Acción de Gracias sigue el patrón normal de un correo electrónico que contiene un documento con macros embebidos, los cuales llevan a un programa de descarga PowerShell para la carga dañina de Emotet. 

Sin embargo, en este caso el documento no es un .doc o .docx normal sino un archivo XML que se hace pasar como un .doc, en tanto que el macro utiliza la funcionalidad “Figuras”, la que finalmente lleva a abrir la función shell usando un WindowStyle de vbHide. La sintaxis para la función shell es

Shell( pathname, [ windowstyle] )

donde pathnamepuede ser un programa o un script.

Figura 2 – El Macro que utiliza Formas

Figure 2 - Macro using Shapes

El resultado es un comando fuertemente ofuscado, como se muestra a continuación.

Figura 3 – Comando DOS Ofuscado

Figure 3 - Obfuscated DOS command

Cuando se elimina la ofuscación, el comando anterior revela el programa de descarga PowerShell estándar que normalmente observamos con Emotet.

Figura 4 – Programa de descarga PowerShell

Figure 4 - Powershell downloader

A pocas semanas de que Emotet regresara, ha experimentado algunos cambios interesantes, principalmente la inclusión del Día de Acción de Gracias y la ofuscación de macros que se discutió anteriormente. Si bien no es algo nuevo (el uso de archivos XML para ocultar macros fue reportado por Trustwave en 2015), representa un desafío para los encargados de la seguridad debido al enorme volumen de correos electrónicos enviados, pues se tienen que crear rápidamente las firmas de detección necesarias para contener esta oleada. 

Declaración de Protección

Los clientes de Forcepoint están protegidos contra esta amenaza en las siguientes etapas del ataque:

  • Etapa 3 (Entrega) – Los correos maliciosos se identifican y se bloquean.
  • Etapa 4 (Explotación) – Los archivos adjuntos maliciosos se identifican y se bloquean.
  • Etapa 5 (Archivo dropper) – Los URLs de la carga maliciosa se identifican y se bloquean.
  • Etapa 6 (Call Home) – El tráfico a los nodos C2 se identifican y se bloquean.

Acerca de Forcepoint
Forcepoint es una empresa mundial de seguridad cibernética centrada en los humanos. Transforma a las empresas digitales al adaptar la respuesta de seguridad a los riesgos planteados por los usuarios individuales y las máquinas. El sistema Human Point de Forcepoint brinda Protección Adaptada a los Riesgos para garantizar el uso confiable de datos y sistemas. Con sede en Austin, Texas, Forcepoint protege los puntos humanos en miles de clientes corporativos y gubernamentales de más de 150 países. www.forcepointblog.com

Conéctese con Forcepoint en los medios sociales

Facebook:https://www.facebook.com/ForcepointLLC/
LinkedIn: https://www.linkedin.com/company/forcepoint
Twitter: https://www.twitter.com/forcepointsec
Instagram: https://www.instagram.com/forcepoint

About the Authors

AO

Adrian OGara

Security Researcher
RM

Ran Mosessco

Principal Security Researcher