Contenido Exclusivo

Visión del CIO 2024: Un enfoque al panorama TI en México

CIO Ediworld realizó por sexto año consecutivo en la...

Cuatro tecnologías que le ayudarán a alcanzar la Transformación Digital

La transformación digital es un paso obligatorio para mantenerse competitivos en...

Alertan sobre campaña del troyano Emotet detectada en LA, ¿cómo protegerse?

FortiGuard Labs, pertenecientes a la empresa de seguridad Fortinet, informó haber capturado más de 500 archivos de Microsoft Excel que participaron en una campaña para entregar un nuevo troyano Emotet en el dispositivo de la víctima.

Emotet utiliza la ingeniería social, como el correo electrónico, para atraer a los destinatarios a abrir archivos de documentos adjuntos (incluidos Word, Excel, PDF, etc.) o hacer clic en enlaces dentro del contenido del correo electrónico que descargan la última variante de Emotet en el dispositivo de la víctima y luego ejecutarla.

Emotet, conocido como un troyano modular, se descubrió por primera vez a mediados de 2014. Desde entonces se ha vuelto muy activo, actualizándose continuamente. Los informes de inteligencia de amenazas de FortiGuard Labs para América Latina y el Caribe muestran que Emotet ha estado activo en la región durante todo 2021 y continúa este año.

Investigación en archivos de MS Excel

Los analistas de FortiGuard Labs tomaron un archivo de MS Excel de las muestras capturadas y realizaron una investigación profunda de esta campaña.

La imagen de abajo muestra el mensaje falso utilizado para atraer a una víctima para que haga clic en el botón “Habilitar contenido” (Enable Content) para ver el contenido protegido del archivo de Excel. Este archivo puede haber llegado a la víctima desde un usuario desconocido o como un archivo adjunto en un correo electrónico de phishing.

¿Qué sucede al hacer clic en “Habilitar contenido”?

  • La macro maliciosa tiene una función llamada “Workbook_Open()” que se ejecuta automáticamente en segundo plano cuando se abre el archivo de Excel. Llama a otras funciones locales para escribir datos en dos archivos: “uidpjewl.bat” y “tjspowj.vbs” en la carpeta “C:\ProgramData\”. Los datos escritos se leen desde varias celdas de este archivo de Excel. Al final, la macro ejecuta el archivo “tjspowj.vbs” con “wscript.exe”.
  • Una vez que el archivo Emotet (“puihoud.dll”) es cargado automáticamente por “rundll32.exe”, su función de punto de entrada se llama por primera vez.
  • Una vez que Emotet termina de recopilar la información básica del dispositivo de la víctima, llama a la API BCryptEncrypt() para cifrar los datos e iniciar la comunicación con el servidor de Comando y Control (C2).
  • Cuando Emotet recibe una respuesta válida del servidor C2, reubica el archivo dll de Emotet descargado de “C:\Windows\ProgramData\puihoud.dll” en la carpeta “%LocalAppData%”. 
  • Además, para permanecer en el dispositivo de la víctima, Emotet se hace persistente añadiendo el archivo reubicado en el grupo de ejecución automática en el registro del sistema. Así, Emotet es capaz de ejecutarse cuando se inicia el sistema.

¿Qué hacer para protegerse?

La protección más efectiva es siempre la concienciación del usuario final. Hacer que todos los empleados sepan cómo identificar correos electrónicos y mensajes sospechosos, además de entender cómo funciona una campaña de phishing, es el primer paso que deben tomar las empresas. El curso gratuito de Fortinet NSE 1: NSE 1 – Conciencia de seguridad de la información incluye un módulo sobre amenazas de Internet diseñado para ayudar a los usuarios finales a aprender cómo identificar y protegerse contra los ataques de phishing.

Además, las soluciones de seguridad avanzadas ayudan a las organizaciones a mantenerse protegidas:

  • La macro maliciosa dentro de la muestra de Excel se puede desarmar mediante un servicio CDR (Content Disarm & Reconstruction), tecnología para eliminar código potencialmente malicioso de los archivos.
  • Un buen servicio de filtrado web que clasifique todas las URL relevantes como “sitios maliciosos”;
  • Bloqueo de archivos de malware por un antivirus.
  • Solución de detección y respuesta de endpoint (EDR) para detectar el archivo de Excel y el archivo dll de Emotet como maliciosos en función de su comportamiento.

Lo Más Reciente

Tendencias y panorama del e-Commerce en México

México se encuentra en una etapa de crecimiento en su...

HCLTech y SAP se unen para impulsar la adopción de la IA generativa

HCLTech anunció una colaboración con SAP para impulsar la...

Cómo reclutar candidatos sin experiencia

¿Buscando recién graduados que puedan entrar en acción rápidamente?...

La transformación del retail mediante la IA

”En una era en la que la inteligencia artificial...

Newsletter

Recibe lo último en noticias e información exclusiva.

Tendencias y panorama del e-Commerce en México

México se encuentra en una etapa de crecimiento en su evolución hacia el comercio electrónico el cual aún muestra un bajo porcentaje entre los consumidores...

HCLTech y SAP se unen para impulsar la adopción de la IA generativa

HCLTech anunció una colaboración con SAP para impulsar la innovación y acelerar la adopción de IA generativa (Gen AI). A través de esta colaboración...

Cómo reclutar candidatos sin experiencia

¿Buscando recién graduados que puedan entrar en acción rápidamente? Estas señales le ayudarán a identificar el talento adecuado. Es hora de expandir su equipo en...