Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/07/2018
Nueva campaña de Emotet
El conocido malware bancario amplía su rango de acciones en propagación y despliegue de nuevas amenazas.
El grupo hacker conocido como Mealybug ha evolucionado su famoso "Troyano bancario" Emotet, puesto que ya no se centra sólo en el robo de credenciales bancarias, sino que lo han dotado de mecanismos más sigilosos y funcionalidades ampliables, debido a que ahora es capaz de desplegar nuevas amenazas mediante la comunicación del malware con el Command & Control.
Su principal vía de infección es a través de correos de phishing que contienen documentos maliciosos o enlaces a sitios que descargan este tipo de ficheros. Una vez infectado, el malware contacta con el servidor C&C para descargar nuevas funcionalidades, a la vez que intenta propagarse por la red interna mediante movimiento lateral, normalmente a través del protocolo SMB (Samba), utilizando técnicas de robo de credenciales almacenadas en memoria, explotación de la vulnerabilidad Eternal Blue (MS17-010), o mediante fuerza bruta con diccionarios de credenciales que se encuentran embebidos en el propio malware.
Debido a su nueva funcionalidad de robo de credenciales y contactos guardados en los clientes de correo electrónico, es capaz de enviar correos de spam suplantando al usuario para aumentar el porcentaje de éxito.
Los expertos de seguridad han expuesto la posibilidad de que el grupo Mealybug está vendiendo la infraestructura de Emotet como servicio para desplegar nuevas amenazas de terceros.