Más de 60.000 campañas detectadas relacionadas con Emotet entre mayo y septiembre

Recomendados.... » Protegiendo el perímetro. Foro IT Digital Security On demand » Administración Digital: progreso y vanguardia. 29 y 30 noviembre Foro » Digitalización y seguridad, motor de innovación del sector financiero  Informe

El último informe de inteligencia de amenazas de Infoblox, que cubre el tercer trimestre del año, confirma que Emotet sigue siendo una amenaza persistente, tras renacer con fuerza tras su desmantelamiento en 2021. Desde mayo de 2022 hasta finales de septiembre Infoblox ha detectado más de 60.000 campañas de malspam relacionadas con este malware.

Diseñado originalmente como un troyano bancario dirigido a robar datos financieros, ha evolucionado para convertirse en una amenaza importante para los usuarios en todo el mundo. Una de sus características constantes ha sido el uso del correo electrónico como medio de entrega, con documentos de Microsoft Office (documentos Word o Excel) como vector de infección.

La infección de los sistemas se realiza mediante la instalación de librerías dinámicas (DLLs) que el documento infectado invoca a través de la ejecución de macros, y que son descargadas desde sitios web. En este punto de la cadena de ataque es crucial la intervención de dominios infectados. Infoblox ha analizado 13.000 archivos adjuntos de correos electrónicos infectados con Emotet, extrayendo de los mismos no solo la URL a la que apunta para la descarga de la DLL maliciosa, sino también a los dominios de alojamiento. Se ha descubierto que la mayoría de los dominios que se utilizan para alojar las cargas útiles de Emotet DLL corresponden a sitios web comprometidos que están mal desarrollados o con un mal mantenimiento. Para el análisis Infoblox ha utilizado un algoritmo propio que clasifica los sitios web según la frecuencia con la que se consultan.

Otra de las conclusiones del estudio es que los dominios utilizados para alojar las DLL maliciosas son antiguos. Ninguno de los principales dominios que alojan dichas piezas de código malicioso ha sido registrado recientemente. Los atacantes prefieren utilizar dominios de algún modo comprometidos como vector para la distribución del malware.

Para prevenir y mitigar los efectos de este malware, las recomendaciones del proveedor son las siguientes:

-- Utilizar proveedores DNS capaces de denegar el acceso a los dominios comprometidos utilizados para alojar el código malicioso de Emotet

-- Para mitigar el riesgo de infección por amenazas conocidas, mantener actualizado el software de seguridad y parcheado.

-- Llevar a cabo campañas de concienciación y buenas prácticas de seguridad en el uso de las herramientas de TI dentro de las organizaciones. Es importante que todo el personal esté al día con las últimas técnicas utilizadas por los atacantes para engañar a los usuarios que reciben correos electrónicos maliciosos.

-- Mejorar la seguridad perimetral de la red. El 99% de los ataques exitosos involucran algún tipo de red de comunicaciones. Contar con las herramientas adecuadas puede ayudar a identificar y minimizar el impacto de una amenaza como Emotet antes de que cause daño.

El informe de la compañía también destaca la actividad de la red de adware Omnatuor, un servicio de publicidad que los sitios web pueden utilizar para generar tráfico e ingresos en sus propios sitios. Desafortunadamente, hay programas maliciosos que redirigen a los usuarios a estos anuncios de forma fraudulenta y que crea diferentes tipos de abusos, como secuestro de navegador, notificaciones automáticas y ventanas emergentes no deseadas. Omnatuor está considerado por la comunidad de seguridad simplemente como adware, lo que "no hace sino subestimar el peligro potencial que representa la publicidad maliciosa en general y el actor de Omnatuor en particular. Además de su capacidad de persistencia, esta red ofrece contenidos potencialmente peligrosos", señala Infoblox.

En su modus operandi, aprovecha las vulnerabilidades de WordPress y es eficaz en la difusión de software de riesgo, spyware y adware, y utiliza una infraestructura extensa y tiene un amplio alcance en las redes de todo el mundo. Se han identificado más de 9.900 dominios y 170 direcciones IP relacionadas con el dominio "semilla" original omnatuor.com. Además, utiliza una técnica inteligente para lograr la persistencia a través de los patrones de navegación de un usuario.

En lo que respecta a prevención y mitigación, la firma recomienda, entre otras medidas, a los sitios de WordPress deshabilitar JavaScript por completo, provechar el repositorio de GitHub de indicadores asociados con Omnatour Malvertising Network, utilizar programas que bloquean la publicidad no deseada, y configurar las fuentes RPZ (Response Policy Zone) en los firewalls. Esto puede detener los intentos de los actores de conectarse a nivel de DNS.