Informe sobre actividad maliciosa Emotet en

Chile
Santiago, 29 de Septiembre del 2019
Nota

La información consignada en el presente informe es producto del análisis de múltiples fuentes, de

terceras partes e investigación propia del equipo CSIRT. La información contenida en los informes o
comunicados está afecta a actualizaciones.

Este informe ha sido clasificado con TLP BLANCO. La información puede ser distribuida sin
restricciones.

CSIRT Firmado
digitalmente por

Gobierno CSIRT Gobierno de

Chile

de Chile Fecha: 2019.09.29

10:21:12 -03'00'
Resumen Ejecutivo
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), emite el presente informe
sobre el fenómeno de Emotet, distribuido por campañas de phishing con archivos adjuntos Word
maliciosos, y que tiene relación con la alerta publicada el 24 de septiembre pasado con el código
2CMV-00032-001.

La alerta informaba sobre la activación de múltiples campañas nivel mundial, así como campañas
dirigidas a Chile.

Esta publicación proporciona detalle del método de infección y el comportamiento de las campañas
que están dirigidas contra nuestro país. Además se comparten indicadores de compromisos y
formas de prevenir ataques de ingeniería social que son utilizados por los atacantes.

Si bien las técnicas descubiertas por este CSIRT ya han sido documentadas anteriormente, el
objetivo de este documento es ilustrar a los usuarios respecto a la frecuencia de ocurrencia de estos
eventos y las precauciones que deben ser consideradas.
Análisis del Caso
Con fecha 24 de Septiembre de 2019, el Equipo de Respuesta ante Incidentes de Seguridad
Informática detectó campañas de phishing Emotet en Chile. Este Malware que fue conocido por ser
un troyano bancario ha evolucionado constantemente infectando otras familias de malware a los
equipos infectados.

El CSIRT de Gobierno analizó correos de phishing que intentaban difundir el troyano Emotet que
contenían documentos maliciosos de Word.

Del análisis se pudo concluir lo que se describe a continuación.

Primero, para poder generar la infección se requiere que el usuario interaccione con el proceso de
infección, es decir, que abra el correo electrónico, ejecute el documento Word, habilite la ejecución
macros, y dependiendo la configuración del office, podría permitir la ejecución automática de
PowerShell, que a su vez, descarga y ejecuta el troyano Emotet, como se ilustra a continuación.

Figura 1. Procesos de Infección

Del análisis de los correos electrónicos distribuidos por los atacantes se pudo constatar que, el
método que utilizan para engañar a las personas es falsificar el nombre de la persona que envía el
correo.

El análisis permitió identificar cuentas de correo electrónicos y nombres de Instituciones Públicas y

Empresas Privadas falsificadas. Esta técnica es denominada como Spoofing, y tiene como objetivo
que las víctimas crean que el mensaje proviene de una fuente confiable.

Existen otros métodos como la falsificación de dominio y/o envió de correos de cuenta de correo
electrónico ya vulnerada, que permiten dar mayor credibilidad al mensaje.
Este informe toma como ejemplo una muestra de un envío masivo de correos electrónicos.

La muestra tenía como propósito suplantar una cuenta de correo electrónico de la “Fundación
Nuestros Hijos”. En la muestra, la dirección falsificada se encontraba ofuscada en Base64 y, al
decodificarla, se obtuvo la dirección de correo y el nombre real que intentaba suplantar y que
observa el usuario al recibir el correo, en este caso, “Sabino Aliste Gálvez <saliste@fnh.cl”. Se debe
tener presente que el nombre y el correo que utilizan es otra víctima más de los atacantes.

En la muestra, el correo electrónico proviene de una cuenta a nombre del Hotel “Fontane Bianche”.
Esto no quiere decir que estén propagando el phishing, sino que existe la posibilidad que hayan sido
víctimas de algún actor malicioso que intervino algún sistema del organismo.

Figura 2. Encabezado del correo

En general, el texto de los correos electrónicos informa que existe un documento adjunto en un
lenguaje claro y en español, incentivando de ese modo a abrir el documento.

A continuación exponemos algunos textos de correos electrónicos dirigidos a usuarios chilenos.

 Figura 3. Texto de correos electrónicos

En lo que se refiere al malware, o código malicioso, éste se encuentra alojado en el documento

adjunto tipo DOC dentro del correo electrónico. El documento Word al ser ejecutado solicita al
usuario que active las macros para poder ver el contenido del documento, La aplicación Microsoft
Word por defecto se encuentra configurad para que no ejecute ninguna macro, no obstante, si la
configuración no se encuentra de ese modo automáticamente se ejecutará el script de PowerShell,
comenzado el proceso de infección.
 Figura 4. Documento adjunto

En esta investigación se observó que el script de Powershell se comunica a internet para iniciar el
proceso de la descarga del malware. Esta comunicación se produjo, en su mayoría, con sitios de
Wordpress con software CMS intervenidos previamente por los atacantes, los que eran utilizados
para almacenar archivos maliciosos.

Figura 5. Procesos

Al revisar la captura de tráfico que se obtuvo producto de la ejecución del documento Word, se
pudo ver la comunicación a servidores DNS.

Figura 6. Consultas DNS

En la imagen se observan peticiones Get al dominio “saeblaser.com” y a la Urls desde donde se
descargó el malware y se inició el procese de ejecución. En este caso, el archivo se llama
“yxi1r47j6mggd.exe”.

Figura 7. Trafico de descarga

Luego de la descarga del archivo, se generan peticiones POST hacia dos URI que corresponden a la
mima dirección IP “187.199.158.226”
 Figura 8. Trafico Secundario Post

Luego de ejecutar el archivo descargado llamado “yxi1r47j6mggd.exe”, se genera el tráfico a

internet observando dos direcciones IP. La primera comunicación está ubicada en Chile “AS 22047”
- “201.214.74.71”, y la segunda comunicación a Estado Unidos “AS 63949” - “66.228.32.31”.

“201.214.74.71 - 201.214.74.71” realizar un analizar al archivo descargado anteriormente

“yxi1r47j6mggd.exe”, se puede observar la comunicación que realiza con otras direcciones IP

Figura 9. Trafico Archivos ““yxi1r47j6mggd.exe”

Al ser consultadas las IPs en el portal de Virustoral, se pudo constatar que se encuentraban
catalogadas como maliciosas. Además se pudo observar que varios documentos Word tuvieron
comunicación con dichas IPs.
 Figura 10. VirusTotal “yxi1r47j6mggd.exe”

Según nuestra telemetría, el Hash del archivo ejecutable se ha podido identificar en varios lugares
del mundo con distintos nombres.

Figura 11. Nombres de Archivos

Algo similar sucede con el archivo “yxi1r47j6mggd.exe”, el que se ha observado en diversos sitios
web para su descarga. A continuación se entrega un listado con algunos de ellos.

Figura 11. Sitios Web

Conclusiones
La exposición de este caso demostró que la infección inicial se produce a través del método de
ingeniería social. Los atacantes intentan engañar al usuario por medio de un correo electrónico de
un supuesto origen conocido. Luego, el atacante espera que el texto del mensaje convenza al
usuario de estar en presencia de un correo legítimo, para que la víctima ejecute o habilite las macros
del archivo Word. Posteriormente a ese proceso, se inicia la descarga del malware sin ser detectada
por el receptor del mail.

Este tipo de ataque es más conocido como troyano Emotet, cuya actividad se reactivó en todo el
mundo en los últimos días, tal como se ha publicado en varios medios de seguridad e
investigaciones, y como lo advirtiera el CSIRT de Gobierno oportunamente.

Este tipo de troyano además puede entregar otras cargas de malware como familias de
ransomware, trickbot y AZORult.

Es por ello que se insta a los usuarios de internet a seguir las recomendaciones básicas que se indican
más adelante, ya que cada vez más los cibercriminales recurren al engaño para obtener réditos
económicos.
Recomendaciones
 No abrir correos de dudosa procedencia.
 No abrir correos si no existe ningún servicio con la entidad o persona que envía el correo.
 Configurar la protección de antivirus lo más elevado posible, y mantenerlo actualizado.
 Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java,
entre otras).
 Evaluar el bloqueo preventivo de los indicadores de compromisos.
 Revisar los controles de seguridad de los AntiSpam y SandBoxing.
 Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
 Realizar concientización permanente para los usuarios sobre este tipo de amenazas.
Indicadores de compromisos

Hashes

MD5

8e9dc7e80ba63aa3491d21c8b637dc82
e8554809ec3c8dfb68f2dd37027dadea
0b431972094e9ea43fa6b12d64baf58d
33a1ca75205808e8f1d12a33ac4a4097
40f3f2500fcc28e2ed1a91a2108be770
f094fd399b431f1ddb299e3722f5c2bb
e5b819f922984372ea4f6273c1427e25

SHA256

D1F24A377589BD9A6A70C60871522CF87BABC1E2FBE8FCE9B67FA0256C360271
B88A26C21AAEDF826544B95915D2F632FBB4ACCFEA4381DEF520CECBB4D316D8
38DBAC3AB5ADBFB219D940EAEB33098E643A95AAAF793609703A89EB3BC28D9B
5540652B435D6C77D565AD13DBE5B9899E2D9D8A4349F23632AC6328175FB92C
F562667EC7101A82FFFFF304C1E2D9AB8FE38850B133D06E34A9B620D2495F42

Url’s:

http[:]//www[.]bulbulstore[.]com/configweb/82oua00_nmnza-219207040/
http[:]//www[.]saeblaser[.]com/wp-admin/jx7w814/
http[:]//www[.]saeblaser[.]com/wp-admin/jx7w814
http[:]//www[.]globercm[.]com/wp-content/u43zzh54
http[:]//www[.]praguelofts[.]fantasy-web[.]net/wp-content/yho3521
http[:]//www[.]westburydentalcare[.]com/wp-content/tc3q3db789
http[:]//www[.]purl[.]org/dc/terms/xmlns[:]dcmitype
http[:]//www[.]inquireexpert[.]com/css/enkw243373
http[:]//www[.]guanchangwen[.]com/nofij3ksa/t6524
http[:]//www[.]eastwoodoutdoor[.]com/cgi-bin/t3186
http[:]//www[.]elisabietta[.]com/wp-content/44bj2z00
http[:]//www[.]vivekanandadegreecollege[.]com/wp-includes/j63213
http[:]//www[.]zimahenergy[.]com/wp-content/azwk6
http[:]//www[.]averybit[.]com/wp-content/uploads/d4
http[:]//www[.]hepsihediyelik[.]net/wp-admin/7l8ob60
http[:]//www[.]costaging[.]com/staffheroes/ak9qqa045
http[:]//www[.]dimsum[.]xp-gamer[.]com/cgi-bin/nl72965
http[:]//www[.]divakurutemizleme[.]com/wp-content/p4481
http[:]//www[.]every-day-sale[.]com/ab/1kxf6j325978
http[:]//www[.]purepropertiesobx[.]com/menusa/edt222
http[:]//www[.]sidanah[.]com/wp-admin/6dtjzp2161
http[:]//www[.]fashionupnext[.]com/wp-content/0j6w3at1
http[:]//www[.]esoftlensmurah[.]com/wp-admin/x0300
http[:]//www[.]dev[.]yashcodigital[.]com/cgi-bin/h11
http[:]//www[.]finalchace[.]com/wp-includes/nm86909
http[:]//www[.]greenbeanph[.]com/cgi-bin/10zho5
http[:]//www[.]devcorder[.]com/yberdigital-info/vs8yoml510
http[:]//www[.]gzbfashion[.]com/wp-content/259
http[:]//www[.]mosheperes[.]xyz/images/rbx31fh71
http[:]//www[.]martx[.]com/hotel-telephones/3juc78242
http[:]//www[.]saeblaser[.]com/wp-admin/jx7w814
http[:]//www[.]dtupl[.]com/wp-admin/g3ei2390
http[:]//www[.]demo[.]econzserver[.]com/blackhood/gkxo2

IPs:

187[.]199[.]158[.]226/pdf/
187[.]199[.]158[.]226/taskbar/pnp/
201[.]214[.]74[.]71/iplk/merge/
201[.]214[.]74[.]71/xian/pdf/nsip/merge/
66[.]228[.]32[.]31/whoami[.]php
66[.]228[.]32[.]31/usbccid/xian/nsip/merge/

Sender de Correos:

info@mondin[.]it
agil@clave2000[.]com[.]co
pedidos@acr[.]company
administracion@transportemostto[.]com[.]ar
tony@ckprint[.]com[.]hk
descansazul@descansazul[.]com

Asunto:

Enviando por correo electrónico: 2019092428588380

Enviando por correo electrónico: 2019092440219240
Nueva cesión de datos
Privacidad
documentos

Servidor Smtp:

vsmtp-pro2[.]tin[.]it [212[.]216[.]176[.]150]
host-186-3-192-158[.]netlife[.]ec [186[.]3[.]192[.]158]
ns1[.]acr[.]company [91[.]142[.]215[.]14]