Malware EMOTET se aprovecha de nueva vulnerabilidad de WinRar

Se anuncia alerta de ciberseguridad por distribución del Malware EMOTET a través de una reciente vulnerabilidad descubierta en WinRar.

 

El Malware EMOTET vuelve a contratacar intensificando su capacidad para distribuirse abusando de archivos legítimos de Windows.  A través de una línea de comandos wmic.exe, que administra certificados de Windows, habilitándole la descarga de otros archivos.

 

¿Cómo funciona?

Todo comienza con el envío de un correo electrónico haciéndose pasar por una empresa, institución gubernamental o banca, notificando al destinatario que tiene una multa, o una transferencia bancaria errónea, pago pendiente, etc. Para luego, motivar a la víctima a descargar un archivo con el documento. Al hacer click en la url, se abrirá una ventana en el navegador solicitándole la descarga de un archivo ZIP.

 

¿Qué sucede luego?

Al descargar el archivo ZIP, automáticamente se aprovecha de la vulnerabilidad de WinRar (CVE-2018-20250) ejecutándose a través de un código remoto, para el cmd. En el código del ZIP, se ejecuta: “C:\Windows\System32\cmd.exe” /C “C:\Users\admin\Desktop\Archivo{Install}.cmd”

El “Archivo{Install}.cmd” ejecutará dos funciones:

  • “ping 127.0.0.1 -n 1” al localhost: esto le permitirá identificar la MAC address de la pc y poder verificar si es un SandBox o un ambiente virtual. Si es así, el malware se detiene.
  • Crea un archivo llamado admin.vbs: este archivo crea un wscript.exe que descarga un binario con un nombre y el cmd ejecuta lo siguiente: wscript //Nologo “C:\Users\admin\admin\admin.vbs”

Cuando ya está descargado el binario, se conecta con el Command and Control, y ya puede recibir órdenes y enviar información robada. Ejecutándose de esta manera: “C:\Windows\system32\cmd.exe” /c start C:\Users\admin\zct_otb\zct_otb.exe”

 

El malware en su fase final
  • Intercepta y registra movimientos del mouse y del teclado, pudiendo obtener información sobre los sitios a los que el usuario ingresa y lo que escribe.
  • Obtiene información del kernel, del equipo en general y del GUID (identificador único global)
  • Crea un valor en el registro de autoejecución.
  • Implementa técnicas de anti virtualización.
  • Obtiene dominios y hosts para procesar la información robada y poder enviársela a un servidor externo.

 

Acciones inmediatas a tomar:
  • Bloquear los IOC adjuntos en el comunicado, a través de la generación de una regla personalizada en equipos de seguridad.
  • Aislar los equipos que están generando comportamiento anómalo.
  • Ejecutar un full scan on demand, luego de aislados los equipos.
  • Revisar los procesos de los equipos e identificar anomalías.
  • Si se detecta un proceso con nombre “extraño” abrir la ubicación del archivo, generalmente los llevará a “C:\Users\nombredeusuario\” o “C:\Windows\SySWOW64” de ser así, se puede deducir que la máquina está infectada. Aislar inmediatamente de la red.

“Después de un profundo análisis, se ha detectado que funciona con distintas variantes de malwares bancarios como KL-Banker, Razy, Symmi, Banbra, N40 entre otros”.

 

Desde Security Advisor recomendamos:

Se recomienda bloquear este tipo de archivos temporalmente “.rar” y analizar el aplicativo en sus instalaciones.

Sitios y archivos potencialmente maliciosos:

Sitio web: triosalud.cl hxxp://5.39.218[.]210/dns/dns.php?dns=” hxxp://5.39.218[.]210/dns/logs/logpc.php hxxp://185.29.8[.]45/1.exe

Archivo potencialmente malicioso: http://www.triosalud.cl/wp/wp-content/uploads/2019/02/denuncias.rar https://www.triosalud.cl/wp/wp-content/uploads/2019/03/tictic.txt

 

 

Referencias:

Entel Cyber Secure – Se propagan nuevas variantes de malwares bancarios

Medium Corporation – Exploit de WinRar CVE-2018-20250 utilizado para distribuir Malware Bancario

Leave a Reply