93.260.10.93 centria@centria.es
INFORMACIÓN SOBRE LA AMENAZA – Trendmicro

Emotet apareció por primera vez en 2014 como malware bancario que intentaba infectar computadoras y robar información confidencial. Este malware se propaga principalmente por correo no deseado y correos electrónicos de phishing a través de archivos adjuntos infectados y URL maliciosas incrustadas. Tiene la capacidad de gusanos para extenderse a otros ordenadores conectados. También recopila la lista de contactos de la víctima y se envía a las direcciones de correo electrónico en la lista de contactos.

En la última campaña de malspam, los correos electrónicos suelen tener un tema financiero y parecen ser una respuesta a una transacción anterior mediante el uso de notificaciones de remesas de pagos falsos, anexos de facturas o detalles de pagos. Ahora utiliza macros de PowerShell en las que se engaña a los usuarios para que abran un documento adjunto para habilitar macros y activar un comando de PowerShell que intenta descargar Emotet de sitios comprometidos.

Emotet puede apuntar a sitios web legítimos con temas de WordPress mediante el uso de vulnerabilidad de carga de archivos arbitraria en la que el tipo de archivo MIME no es verificado por el servidor o el código mientras el atacante carga el script de puerta trasera y se puede acceder directamente a la carpeta cargada en determinados sitios web. Recientemente, este malware ahora proporciona Malware-as-a-Service (MaaS) a otros grupos de malware para alquilar el acceso a las computadoras infectadas por Emotet para infectarlas con otro malware como Trickbot Trojan y Ryuk Ransomware.

COMPORTAMIENTO

Ofrece una carga útil más peligrosa, como el ransomware Ryuk, al alquilar máquinas infectadas con Emotet a otros grupos de malware. Roba datos del ordenador, nombre del ordenador, sistema local, versión del sistema operativo (OS) y procesos en ejecución Roba credenciales de usuario, información financiera y bancaria Roba nombres de usuario y contraseñas de diferentes clientes de correo Ejecuta comandos de puerta trasera de un usuario malicioso remoto para conectarse a sitios web maliciosos para enviar y recibir información

 

CAPACIDADES

Robo de información: sí
Capacidad de rootkit: sí
Infección de archivo: sí
Propagación: sí
Descargar Rutina: sí

 

CADENA DE INFECCIÓN

 IMPACTO

Comprometer la seguridad del sistema: con capacidades de puerta trasera que pueden ejecutar comandos maliciosos.
Violación de la privacidad del usuario: reúne y roba las credenciales de usuario de varias aplicaciones.

SOLUCIONES TREND MICRO DISPONIBLES EN CENTRIA