El libro de Snowden: La nueva campaña de Emotet

Hace aún menos de un mes que comenzó a reportarse un aumento en la actividad de la botnet relacionada con Emotet, y ya a comienzos de la semana pasada comenzamos a ver un gran número de correos de Spam que buscaban distribuir éste malware mediante un documento de Word supuestamente relacionado con transferencias y finanzas que en verdad sólo trae macros maliciosas.

 

Ahora, comenzamos la semana con una nueva campaña que busca llamar la atención de las potenciales víctimas de la otra manera: dice ser un nuevo libro de Edward Snowden.

 

La campaña actual

 

Los correos electrónicos llegan en una variedad de idiomas y, al igual que en campañas anteriores, llevan adjunto un archivo de Word que supuestamente es el libro.

 

Una vez abierto el archivo de Word, éste contiene una única hoja que dice que Word no se encuentra activo y para poder utilizarlo debe habilitarse el contenido del archivo, lo cual permitirá la ejecución de la macro.

 

La macro ejecuta un comando de PowerShell con un parámetro codificado en base64 en el cual declara ciertas variables y descarga Emotet de uno de varios sitios web válidos que han sido vulnerados y se encuentran actualmente sirviendo de hosting para el malware.

 

Comando de PowerShell codificado en base64 y decodificado.
(Click en la imagen para ver en tamaño completo)
Comando de PowerShell decodificado y reorganizado para facilitar el análisis.
(Click en la imagen para ver en tamaño completo)

El funcionamiento una vez ejecutado el comando de PowerShell e instalado Emotet es el mismo, el malware establece conexión contra la botnet, envía información del sistema, genera persistencia en el mismo y se mantiene activo en el background a la espera de órdenes de la C&C respecto a si seguir propagándose, descargar otras piezas de malware, entre otros.

 

Los interesados en conocer más sobre las campañas de la semana pasada de Emotet, la historia de este malware y su workflow pueden ver la grabación del webinar que hemos realizado en YouTube:

 

 

Indicadores de compromiso relacionados con esta campaña

ebddeaf4a88b33574093e41999a2655f74c40816c51c661f12db05091d352f68 DOC

821e3f454016615879c524b7b2604c21f783b062f4c9756993a2be75e08d8820 Ejecutable de Emotet

62[.]75[.]171[.]248 C&C Emotet

133[.]130[.]73[.]156 C&C Emotet

178[.]32[.]255[.]133 C&C Emotet