Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/07/2018
Nova campanya d'Emotet
El conegut programari maliciós bancari amplia el seu rang d'accions en propagació i desplegament de noves amenaces.
El grup hacker conegut com Mealybug ha evolucionat el seu famós "Troià bancari" Emotet, que ja no se centra només en el robatori de credencials bancàries, sinó que l’han dotat de mecanismes més sigil·losos i funcionalitats ampliables, ja que ara és capaç de desplegar noves amenaces mitjançant la comunicació del programari maliciós amb el Command & Control.
La seua principal via d'infecció és a través de correus de pesca que contenen documents maliciosos o enllaços a llocs que descarreguen aquest tipus de fitxers. Una vegada infectat, el programari contacta amb el servidor C&C per a descarregar noves funcionalitats, alhora que intenta propagar-se per la xarxa interna mitjançant moviment lateral, normalment a través del protocol SMB (Samba), utilitzant tècniques de robatori de credencials emmagatzemades en memòria, explotació de la vulnerabilitat Eternal Blue (MS17-010), o mitjançant força bruta amb diccionaris de credencials que es troben embeguts en el mateix programari.
A causa de la seua nova funcionalitat de robatori de credencials i contactes guardats en els clients de correu electrònic, és capaç d'enviar correus brossa suplantant l'usuari per a augmentar el percentatge d'èxit.
Els experts de seguretat han exposat la possibilitat que el grup Mealybug està venent la infraestructura d’Emotet com a servei per a desplegar noves amenaces de tercers.