Contenido Exclusivo

¡Convocatoria Abierta! Los Mejores 20 CISO de México 2024

CIO Ediworld le invita a participar en la tercera edición...

VIDEO: Machine learning para diagnóstico oportuno de enfermedades: Guillermo Murra, GE Healthcare

En entrevista con CIO Ediworld, Guillermo Murra, Director Ejecutivo...

Alertan sobre campaña del troyano Emotet detectada en LA, ¿cómo protegerse?

FortiGuard Labs, pertenecientes a la empresa de seguridad Fortinet, informó haber capturado más de 500 archivos de Microsoft Excel que participaron en una campaña para entregar un nuevo troyano Emotet en el dispositivo de la víctima.

Emotet utiliza la ingeniería social, como el correo electrónico, para atraer a los destinatarios a abrir archivos de documentos adjuntos (incluidos Word, Excel, PDF, etc.) o hacer clic en enlaces dentro del contenido del correo electrónico que descargan la última variante de Emotet en el dispositivo de la víctima y luego ejecutarla.

Emotet, conocido como un troyano modular, se descubrió por primera vez a mediados de 2014. Desde entonces se ha vuelto muy activo, actualizándose continuamente. Los informes de inteligencia de amenazas de FortiGuard Labs para América Latina y el Caribe muestran que Emotet ha estado activo en la región durante todo 2021 y continúa este año.

Investigación en archivos de MS Excel

Los analistas de FortiGuard Labs tomaron un archivo de MS Excel de las muestras capturadas y realizaron una investigación profunda de esta campaña.

La imagen de abajo muestra el mensaje falso utilizado para atraer a una víctima para que haga clic en el botón “Habilitar contenido” (Enable Content) para ver el contenido protegido del archivo de Excel. Este archivo puede haber llegado a la víctima desde un usuario desconocido o como un archivo adjunto en un correo electrónico de phishing.

¿Qué sucede al hacer clic en “Habilitar contenido”?

  • La macro maliciosa tiene una función llamada “Workbook_Open()” que se ejecuta automáticamente en segundo plano cuando se abre el archivo de Excel. Llama a otras funciones locales para escribir datos en dos archivos: “uidpjewl.bat” y “tjspowj.vbs” en la carpeta “C:\ProgramData\”. Los datos escritos se leen desde varias celdas de este archivo de Excel. Al final, la macro ejecuta el archivo “tjspowj.vbs” con “wscript.exe”.
  • Una vez que el archivo Emotet (“puihoud.dll”) es cargado automáticamente por “rundll32.exe”, su función de punto de entrada se llama por primera vez.
  • Una vez que Emotet termina de recopilar la información básica del dispositivo de la víctima, llama a la API BCryptEncrypt() para cifrar los datos e iniciar la comunicación con el servidor de Comando y Control (C2).
  • Cuando Emotet recibe una respuesta válida del servidor C2, reubica el archivo dll de Emotet descargado de “C:\Windows\ProgramData\puihoud.dll” en la carpeta “%LocalAppData%”. 
  • Además, para permanecer en el dispositivo de la víctima, Emotet se hace persistente añadiendo el archivo reubicado en el grupo de ejecución automática en el registro del sistema. Así, Emotet es capaz de ejecutarse cuando se inicia el sistema.

¿Qué hacer para protegerse?

La protección más efectiva es siempre la concienciación del usuario final. Hacer que todos los empleados sepan cómo identificar correos electrónicos y mensajes sospechosos, además de entender cómo funciona una campaña de phishing, es el primer paso que deben tomar las empresas. El curso gratuito de Fortinet NSE 1: NSE 1 – Conciencia de seguridad de la información incluye un módulo sobre amenazas de Internet diseñado para ayudar a los usuarios finales a aprender cómo identificar y protegerse contra los ataques de phishing.

Además, las soluciones de seguridad avanzadas ayudan a las organizaciones a mantenerse protegidas:

  • La macro maliciosa dentro de la muestra de Excel se puede desarmar mediante un servicio CDR (Content Disarm & Reconstruction), tecnología para eliminar código potencialmente malicioso de los archivos.
  • Un buen servicio de filtrado web que clasifique todas las URL relevantes como “sitios maliciosos”;
  • Bloqueo de archivos de malware por un antivirus.
  • Solución de detección y respuesta de endpoint (EDR) para detectar el archivo de Excel y el archivo dll de Emotet como maliciosos en función de su comportamiento.

Lo Más Reciente

Mujeres en carreras STEM: el futuro de México

En el marco del Día Internacional de la Mujer...

El nearshoring no funcionará sin el CRM: Expand Latam

El nearshoring dejó de ser un sueño lejano para...

Un enfoque basado en riesgos ayudará a las empresas a enfrentar los crecientes ciberataques

Las soluciones de seguridad están adquiriendo más importancia en...

Newsletter

Recibe lo último en noticias e información exclusiva.

Mujeres en carreras STEM: el futuro de México

En el marco del Día Internacional de la Mujer en la Ingeniería, PepsiCo México refuerza su compromiso con estudiantes mujeres interesadas en las carreras...

El nearshoring no funcionará sin el CRM: Expand Latam

El nearshoring dejó de ser un sueño lejano para convertirse en una realidad que ya está beneficiando a muchas empresas mexicanas, en un territorio...

Un enfoque basado en riesgos ayudará a las empresas a enfrentar los crecientes ciberataques

Las soluciones de seguridad están adquiriendo más importancia en la mente de los responsables de la toma de decisiones corporativas. Pero en un esfuerzo...