El troià Emotet va arribar al món tan bon punt va tornar

Temps de lectura previst: 5 Minuts

Un actor amenaçador anomenat Emotet Trojan ha estat en llibertat durant més de 5 anys i ara ha tornat després d’un desfasament de 5 mesos. Es propaga globalment, afectant objectius nous i antics. S’ha rellançat amb diverses campanyes de Malspam per distribuir-les a tots els sectors.

Hem vist la nostra identitat mitjançant la telemetria que les campanyes Emotite s’han orientat a diferents sectors. S’ha estès a través del correu brossa amb altres temes d’actualitat com Covid-19, Vaccine for Code 19 i Assegurança mèdica, pagament, factura, actualització / obertura de treballs, Cybertech, enviament i molts altres.

Cadena d’infecció

Fig. 1: Cadena d’infecció

La cadena d’infecció comença enviant correus electrònics generats a l’organització o persona objectiu. L’atacant utilitza el mètode de segrest de correu electrònic per enviar correus electrònics generats amb fitxers adjunts. El document Word de l’adjunt pot incloure un fitxer macro o PDF. De vegades, s’inclouen URL al cos del correu electrònic. Com que s’ha segrestat la bústia de correu, el fitxer adjunt es reenvia en resposta a fils de correu electrònic antics o es reenvia a una llista de correu existent, cosa que facilita que la víctima obri el fitxer adjunt perquè el correu prové d’un identificador de correu vàlid. Arriba.

Hem trobat un gran nombre de correus electrònics brossa, alguns dels quals es detallen a continuació.

Correu brossa

Figura 2. Exemple de correu brossa

L’atacant va cometre un error aquí, podem veure al correu que l’article i el nom adjunt no coincideixen. En la majoria dels casos, un nom adjunt conté “informe mèdic contingut 19”.

Anàlisi del metge

Hi ha una macro al fitxer adjunt del document d’oficina. Les macros contenen codi VBA proporcional carregat. Code s’encarrega d’aportar càrrega útil a la Xina.

Fig. 3. Codi macro en un fitxer adjunt.

Després d’una certa pèrdua, el codi de funció “Qndiwjphrk8an6x” es troba a continuació

{Qndiwjphrk8an6x = “winmgmt” + “: win32_” + “p” + “rose”

El que es tradueix en winmgmts: win32_process. Un cop eliminades les dades seleccionades, tenim un codi llegible amb funcions i variables de referència.

Una part interessant del directori de Macros bs Offs PWP168 RO Stem és que podem revisar algunes dades obscures.

Figura 4. Interrupció posterior al fitxer

Després del nivell inicial de desoficialització, hem trobat un script PowerShell codificat de base 64, tal com es mostra a la figura següent.

Figura 5. Codi de shell de potència codificat de base 64

Després de descodificar amb Base64 i processar dades, hem trobat l’script PowerShell a continuació.

Fig. 6. Script PowerShell del còdec base 64

Conté dominis o URL maliciosos que serveixen als executius d’Emotet. Els fitxers executables Emotate es descarreguen al directori “temporal” de la màquina de la víctima mitjançant les ordres de PowerShell.

Anàlisi de la càrrega útil

La càrrega útil descarregada d’aquest fitxer conté un empaquetador personalitzat. El desembalatge es realitza en temps d’execució. El codi empaquetador d’Emotate és polimorf, cosa que dificulta la seva detecció en funció del codi empaquetador de les eines de detecció de signatures.

La secció Recursos (.rsrc) conté dades importants que semblen un paquet de programari maliciós. A la figura següent podem veure que les dades de RC tenen un codi secret.

Figura 7. Fitxer amb dades encriptades al recurs

En depurar el fitxer, vam observar que les dades serien desxifrades mitjançant una versió lleugerament modificada de RC4. La clau RC4 del fitxer està codificada de manera dura. Després del desxifratge, el control passa al codi de l’intèrpret d’ordres desxifrat.

Fig. 8. RC4 utilitzat per al desxifratge

En alguns fitxers hem vist l’ús de VirtualAllocExNuma per assignar nova memòria. S’utilitza per al processament ràpid. L’inici del codi de l’intèrpret d’ordres modificat es copia a la nova adreça després de desxifrar-lo mitjançant l’algorisme RC4 modificat. A més del codi de shell relativament curt, es pot veure un PE addicional a la memòria.

Fig. 9. Codi de shell desxifrat i fitxer PE

El codi Shell desobscura diverses trucades de l’API a RunAtim, com ara LoadLaby A, GateProk Address, Virtual Light i Virtual Protect, que s’utilitzaran per resoldre l’API i assignar memòria per executar PE addicional.

Fig. 10. API resolta

Després, el programari maliciós assigna memòria i copia les dades del fitxer desxifrat i truca al protector virtual i, finalment, el programa va a la ubicació d’entrada original del fitxer desxifrat.

El mètode de difusió de la campanya Emotite continua sent gairebé el mateix que ja hem comentat al nostre bloc. Llegiu-lo aquí.

Després d’executar Emotate, lliurarà les dades al servidor CNC. En enviar, les dades es codifiquen i s’envien amb alguns noms de fitxers aleatoris i camins aleatoris al servidor.

Fig. 11 Trànsit CNC

Les estadístiques mostren

En detectar Quick Heal, hem descobert amb èxit un troià d’aquestes emoticones. Disposem de diverses capes de seguiment per protegir els nostres clients, com ara protecció de correu electrònic, seguretat en línia i detecció de comportament.

Aquí teniu les estadístiques per trobar el nombre de visites dels darrers 45 dies.

Fig. 12 Estadístiques de detecció

Per treure conclusions

Emotet és un actor d’amenaça persistent i ha tingut un gran èxit en proporcionar programari maliciós basat en el correu electrònic, amb un fort focus en el robatori de correu electrònic i l’enviament de programari addicional. Hi ha un codi moderat per proporcionar tècniques de detecció i ignorar-les.

Amb l’impacte global de COVID-19, és probable que els actors amenaçadors continuïn utilitzant correus electrònics de temàtica COVID-19 per difondre programari maliciós que doni suport als seus objectius a tots els sectors potencialment.

Els usuaris de Curació instantània han estat protegits des de fa temps de les emoticones i altres correus electrònics amb temes COVID-19. Seguim detectant i informant d’aquests atacs per protegir els nostres clients.

Expert en la matèria:

Prashant Telekar i Parisha Saxena

Hi ha alguna cosa que afegir a aquesta història? Comparteix-ho

Recent Articles

Veure bellesa i animals des de qualsevol lloc del 2020

La bella i la bèstia actualment només s’estrena a Disney +. Quan em vaig adonar que no veia la bellesa ni els animals perquè...

El troià Emotet va arribar al món tan bon punt va tornar

Temps de lectura previst: 5 MinutsUn actor amenaçador anomenat Emotet Trojan ha estat en llibertat durant més de 5 anys i...

Allunyant-se del terme “amo / esclau”: TechCrunch

TGIF, estic bé? Benvingut a Human Capital, on trobem les últimes novetats sobre treball, diversitat i compromís tecnològic. Aquesta setmana, fem una ullada als...

Revisió d’Apple Watch Series 6: TechCrunch

Quan vé En els rellotges intel·ligents, Apple és contra el món. No és que no hi hagi molts altres productes per triar; és...

Human Forrest suspèn el servei d’intercanvi de bicicletes electròniques a Londres i talla llocs de treball després d’un accident de clients: TechCrunch

Startup amb seu al Regne Unit Human Forest Tech McCrunch ha sabut que el servei de bicicletes electròniques "gratuït" acabat de néixer s'ha...

Related Stories

Leave A Reply

Please enter your comment!
Please enter your name here

Stay on op - Ge the daily news in your inbox