Scribd Logo
Carica

Benvenuto in Scribd!

  • EMOTET, La Botnet y Amenaza Global Que Ya Llego A Chile y Latinoamerica

    Caricato da

    rodrigoduoc
    18 visualizzazioni4 pagine
    Ciberseguridad

    Titolo originale

    EMOTET, La Botnet y Amenaza Global Que Ya Llego a Chile y Latinoamerica

    Copyright

    © © All Rights Reserved

    Formati disponibili

    PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    Ciberseguridad

    Copyright:

    © All Rights Reserved
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    18 visualizzazioni4 pagine

    EMOTET, La Botnet y Amenaza Global Que Ya Llego A Chile y Latinoamerica

    Caricato da

    rodrigoduoc
    Ciberseguridad

    Copyright:

    © All Rights Reserved
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 4

    EMOTET, la botnet y amenaza global que ya llego

    a Chile y Latinoamerica

    #EMOTET, la botnet de distribución de troyanos bancarios más importante del mundo ya se


    encuentra apuntando a Chile y Latinoamerica con campañas masivas de Phishing y documentos
    adjuntos de tipo Microsoft Word principalmente. En este articulo todas las referencias sobre esta
    nueva amenaza:

    La amenaza: Paso de ser un troyano bancario a un completo framework de distribución de


    amenazas, la variante actual posee módulos de:

    - Banking Trojan

    - Email Info Stealer

    - Browser Info Stealer

    - PST Info Stealer

    - DDoS Attack

    - PowerShell Payload Obfuscator


    Además, tiene la capacidad de auto propagarse una vez que ingresa a la red mediante ataques de
    fuerza bruta y es capaz de capturar cuentas de correo SMTP válidas y enviar esa información a sus
    SPAMBOT para generar nuevos ataques de ingeniería social.

    Más información: https://www.symantec.com/blogs/threat-intelligence/evolution-emotet-trojan-


    distributor

    La noticia (07–11–2018): Un foco de más de cien detecciones del virus informático Emotet, un
    código malicioso “muy peligroso” que ha robado miles de credenciales bancarias durante los últimos
    años en Europa, fue detectado la noche de este martes en Costa Rica, informó hoy la firma de
    ciberseguridad ESET. Fuente: https://noticiassin.com/detectan-foco-del-virus-informatico-
    bancario-emotet-en-latinoamerica/

    Vector de ataque e infección: Utiliza Phishing y Spear Phishing con técnicas de ingeniería social
    para iniciar la infección. Al obtener una credencial de correo válida para una organización es capaz
    de propagarse a los contactos de la cuenta.

    Utiliza principalmente vulnerabilidades de Microsoft Office para ejecutar código en la máquina y


    hacer las descargas de sus componentes, se vale de CVE’s como:

    CVE-2014–1761

    CVE-2017–0199

    CVE-2017–0199

    CVE-2018–8430

    CVE-2018–0792

    Samples (Sandbox):

    https://app.any.run/tasks/ac50a2c6-f5cb-426e-9189-709565258530

    https://www.hybrid-
    analysis.com/sample/e9daffb5fc1ef635eca9afcde827b82221c1f6905c6b2d4ba1922f922ed96808?
    environmentId=120

    IOC’s (Indicadores de Compromiso):


    Nombres de documentos adjuntos vistos en Chile: anexo.doc y Nuevo-documento.doc

    Recopilación de IOC’s actualizados por Malware Researchs:

    https://pastebin.com/aEcjTFJd

    https://precisionsec.com/threat-intelligence-feeds/emotet/

    https://otx.alienvault.com/pulse/5a7e17be6e129a2cdeb7c7c8/

    https://otx.alienvault.com/pulse/5b7b02c0be535f34ee30a074

    Desofuscando Powershell Payload’s:

    En el siguiente link se puede entender como desofuscar los payload’s de powershell de Emotet y sus
    distintos métodos (String Replace, String Compression y ASCII
    Array) https://malfind.com/index.php/2018/07/23/deobfuscating-emotets-powershell-payload/

    Tool: https://github.com/lasq88/deobfuscate/

    También se puede ocupar esta herramienta online: https://gchq.github.io/CyberChef/ con los


    parámetros (recipe) como se ve en la imagen: http://security5magics.blogspot.com/2018/07/july-
    emotet-encoded-powershell-observed.html

    Recomendaciones de Seguridad:

    Para protegerse contra el malware que explota vulnerabilidades de Microsoft en general:


    Manténga su suite de MS Office al día con todos los parches de seguridad liberados a la fecha
    por el fabricante.

    Si es posible, sustituya los sistemas operativos Windows antiguos por las versiones más
    recientes.

    Otros consejos:

    Si recibe un documento de Word por correo electrónico y no conoce a la persona que lo envió, no
    lo abra.

    Bloquear macros en documentos de Office.

    Bloquee el intercambio de archivos a través de la red.

    Asegúrese de que los usuarios no tengan acceso de administrador predeterminado.

    Aplicar las mejores prácticas de contraseña.

    Utilice un antivirus con un escáner de acceso (también conocido como protección en tiempo
    real).

    Considere una configuración más estricta de la pasarela de correo electrónico .

    Nunca apague las funciones de seguridad porque un correo electrónico o un documento lo dice.

    Sigan a las cuentas en


    Twitter: https://twitter.com/pollo290987 y https://twitter.com/MalwareTechLab

    Esta información se irá actualizando a medida que avance la contingencia y se tengan más
    antecedentes.

    Potrebbero piacerti anche