Información sobre Emotet

Emotet apareció por primera vez en 2014 como malware bancario que intentaba infectar computadoras y robar información confidencial. Este malware se propaga principalmente por correo no deseado y correos electrónicos de phishing a través de archivos adjuntos infectados y URL maliciosas incrustadas. Tiene la capacidad de gusanos para extenderse a otros ordenadores conectados. También recopila la lista de contactos de la víctima y se envía a las direcciones de correo electrónico en la lista de contactos.

En la última campaña de malspam, los correos electrónicos suelen tener un tema financiero y parecen ser una respuesta a una transacción anterior mediante el uso de notificaciones de remesas de pagos falsos, anexos de facturas o detalles de pagos. Ahora utiliza macros de PowerShell en las que se engaña a los usuarios para que abran un documento adjunto para habilitar macros y activar un comando de PowerShell que intenta descargar Emotet de sitios comprometidos.

Emotet puede apuntar a sitios web legítimos con temas de WordPress mediante el uso de vulnerabilidad de carga de archivos arbitraria en la que el tipo de archivo MIME no es verificado por el servidor o el código mientras el atacante carga el script de puerta trasera y se puede acceder directamente a la carpeta cargada en determinados sitios web. Recientemente, este malware ahora proporciona Malware-as-a-Service (MaaS) a otros grupos de malware para alquilar el acceso a las computadoras infectadas por Emotet para infectarlas con otro malware como Trickbot Trojan y Ryuk Ransomware.

Ofrece una carga útil más peligrosa, como el ransomware Ryuk, al alquilar máquinas infectadas con Emotet a otros grupos de malware. Roba datos del ordenador, nombre del ordenador, sistema local, versión del sistema operativo (OS) y procesos en ejecución Roba credenciales de usuario, información financiera y bancaria Roba nombres de usuario y contraseñas de diferentes clientes de correo Ejecuta comandos de puerta trasera de un usuario malicioso remoto para conectarse a sitios web maliciosos para enviar y recibir información

CAPACIDADES

Robo de información: sí
Capacidad de rootkit: sí
Infección de archivo: sí
Propagación: sí
Descargar Rutina: sí

CADENA DE INFECCIÓN

Comprometer la seguridad del sistema: con capacidades de puerta trasera que pueden ejecutar comandos maliciosos.
Violación de la privacidad del usuario: reúne y roba las credenciales de usuario de varias aplicaciones.

SOLUCIONES TREND MICRO DISPONIBLES EN CENTRIA

Asegúrese de utilizar siempre el último patrón disponible para detectar las variantes antiguas y nuevas de EMOTET Malware. Consulte el artículo de KB sobre Recomendaciones sobre cómo proteger mejor su red con los productos de Trend Micro. Por supuesto, nuestros ingenieros preventa pueden informarle acerca de las soluciones Trend Micro o preparar una demostración de cualquiera de sus productos.

Asegúrese de implementar nuestra configuración de mejores prácticas para los productos TrendMicro. Consulte el artículo de KB sobre Ransomware: Soluciones, configuración y prevención de mejores prácticas con productos Trend Micro

También puede consultar el artículo sobre Envío de virus sospechosos o no detectados para el análisis de archivos al Soporte técnico. Para obtener asistencia técnica, póngase en contacto con el servicio técnico de Trend Micro.

INFORMES DE AMENAZAS

Trend Micro Threat Encyclopedia: TSPY_EMOTET
Trend Micro Threat Encyclopedia: TSPY_EMOTET.AUSJLA
Trend Micro Threat Encyclopedia: TSPY_EMOTET.SMD3
Trend Micro Threat Encyclopedia: TSPY_EMOTET.AUSJKW
Trend Micro Threat Encyclopedia: TSPY_EMOTET.AUSJKV
Trend Micro Threat Encyclopedia: TrojanSpy.Win32.EMOTET.TIABOFCY
Trend Micro Threat Encyclopedia: Trojan.W97M.POWLOAD.THIAHAI
Trend Micro Threat Encyclopedia: Trojan.W97M.POWLOAD.TIOIBEFV