Emotet, una amenaza persistente a pesar de los esfuerzos por acabar con ella
Infoblox, líder en servicios de red seguros y gestionados desde la nube, ha publicado una nueva edición del Infoblox Quarterly Cyberthreat Intelligence Report, un informe de inteligencia de seguridad que recoge trimestralmente las principales amenazas y brechas de seguridad detectadas durante los tres meses anteriores, a nivel mundial.
Entre las principales conclusiones de este informe, que cubre los meses de julio a septiembre de 2022, se encuentran:
• Emotet sigue siendo una amenaza persistente. Emotet es un tipo de malware diseñado originalmente como un troyano bancario dirigido a robar datos financieros, pero ha evolucionado para convertirse en una amenaza importante para los usuarios en todo el mundo. A pesar de las acciones conjuntas tomadas a nivel global por varios países en 2021 para acabar con él, este malware ha renacido con fuerza. En este último trimestre han sido varias las organizaciones que han sufrido ataques serios causados por este gusano. Desde el desmantelamiento de 2021, una característica constante de Emotet ha sido el uso del correo electrónico como medio de entrega, con documentos de Microsoft Office (documentos Word o Excel) como vector de infección. Desde mayo de 2022 hasta finales de septiembre Infoblox ha detectado más de 60.000 campañas de malspam relacionadas con Emotet.
La infección de los sistemas se realiza mediante la instalación de librerías dinámicas (DLLs) que el documento infectado invoca a través de la ejecución de macros, y que son descargadas desde sitios web. En este punto de la cadena de ataque es crucial la intervención de dominios infectados. Infoblox ha analizado 13.000 archivos adjuntos de correos electrónicos infectados con Emotet, extrayendo de los mismos no solo la URL a la que apunta para la descarga de la DLL maliciosa, sino también a los dominios de alojamiento. Se ha descubierto que la mayoría de los dominios que se utilizan para alojar las cargas útiles de Emotet DLL corresponden a sitios web comprometidos que están mal desarrollados o con un mal mantenimiento. Para el análisis Infoblox ha utilizado un algoritmo propio que clasifica los sitios web según la frecuencia con la que se consultan.
Otra de las conclusiones del estudio es que los dominios utilizados para alojar las DLL maliciosas son antiguos. Ninguno de los principales dominios que alojan dichas piezas de código malicioso ha sido registrado recientemente. Los atacantes prefieren utilizar dominios de algún modo comprometidos como vector para la distribución del malware.
Prevención y mitigación: el uso de sitios web comprometidos y del correo electrónico como el vector de entrega siguen siendo características fundamentales de la cadena de ataque de este malware, por lo que la estrategia de prevención y mitigación de debe basar en ello. Las recomendaciones fundamentales son:
o Utilizar proveedores DNS capaces de denegar el acceso a los dominios comprometidos utilizados para alojar el código malicioso de Emotet.
o Para mitigar el riesgo de infección por amenazas conocidas, mantener actualizado el software de seguridad y parcheado.
o Llevar a cabo campañas de concienciación y buenas prácticas de seguridad en el uso de las herramientas de TI dentro de las organizaciones. Es importante que todo el personal esté al día con las últimas técnicas utilizadas por los atacantes para engañar a los usuarios que reciben correos electrónicos maliciosos.
o Mejorar la seguridad perimetral de la red. El 99% de los ataques exitosos involucran algún tipo de red de comunicaciones. Contar con las herramientas adecuadas puede ayudar a identificar y minimizar el impacto de una amenaza como Emotet antes de que cause daño.
• Omnatuor Malvertising Network: infección/secuestro de navegador para difundir software de riesgo. Omnatuor.com es un servicio de publicidad que los sitios web pueden utilizar para generar tráfico e ingresos en sus propios sitios. Desafortunadamente, hay programas maliciosos que redirigen a los usuarios a estos anuncios de Omnatuor.com de forma fraudulenta y que crea diferentes tipos de abusos, como secuestro de navegador, notificaciones automáticas y ventanas emergentes no deseadas. Omnatuor está considerado por la comunidad de seguridad simplemente como adware, lo cual no hace sino subestimar el peligro potencial que representa la publicidad maliciosa en general y el actor de Omnatuor en particular. Además de su capacidad de persistencia, esta red ofrece contenidos potencialmente peligrosos.
En su modus operandi, Omnatuor es similar a la red VexTrio, que Infoblox ya analizó en un reporte anterior. Al igual que VexTrio, aprovecha las vulnerabilidades de WordPress y es eficaz en la difusión de software de riesgo, spyware y adware. También como el actor de VexTrio, Omnatuor utiliza una infraestructura extensa y tiene un amplio alcance en las redes de todo el mundo. Se han identificado más de 9900 dominios y 170 direcciones IP relacionadas con el dominio "semilla" original, omnatuor.com. A diferencia del actor VexTrio, el actor Omnatuor utiliza una técnica inteligente para lograr la persistencia a través de los patrones de navegación de un usuario.
Prevención y mitigación: como se ha mencionado, este adware compromete los sitios vulnerables de WordPress utilizando código JavaScript o PHP malicioso incrustado. El código redirige a los usuarios o los obliga a ver y hacer click en anuncios maliciosos a través de ventanas emergentes y notificaciones automáticas. Se recomienda:
o Configurar las fuentes RPZ de Infoblox en los firewalls. Esto puede detener los intentos de los actores de conectarse a nivel de DNS, porque todos los componentes descritos en este informe requieren el uso del protocolo DNS.
o Para ayudar a bloquear agentes de publicidad maliciosa conocidos, aprovechar el repositorio de GitHub de indicadores asociados con Omnatour Malvertising Network.32 Infoblox ofrece Infoblox.
o Utilizar programas que bloquean publicidad no deseada como UBlock Origin.33. El adware se envía a través de una secuencia de comandos y bloquear los dominios y las direcciones IP a nivel de firewall o DNS no impide las notificaciones automáticas, los redireccionamientos o las ventanas emergentes.
o Deshabilitar JavaScript por completo o use una extensión web (como NoScript) para habilitar JavaScript solo en sitios de confianza.
Recomendaciones genéricas de Infoblox para prevenir y mitigar riesgos
Todas las campañas identificadas utilizan el correo electrónico como vector de ataque. Muchos de los correos electrónicos distribuyen direcciones URL maliciosas que realizan múltiples redireccionamientos de las víctimas a otras páginas de destino fraudulentas. Infoblox recomienda fortalecer los controles de seguridad sobre el correo electrónico, HTTP y DNS y utilizar una serie de medidas como:
• Desconfiar de correos electrónicos vagos o vacíos, especialmente aquellos con indicaciones para abrir archivos adjuntos o hacer clic en enlaces.
• Comprobar siempre si la dirección de respuesta de un correo electrónico o la dirección del remitente está vinculada a la organización remitente. Si no, es probable que el correo electrónico sea fraudulento.
• Tener cuidado con los enlaces que redirigen a sitios web de terceros desconocidos. Dichos enlaces a menudo son indicativos de actividad fraudulenta.
• Interrumpir la resolución de URL que involucra dominios recién registrados mediante la aplicación de listas de bloqueo en el navegador o a nivel de DNS. Infoblox ofrece repositorios de inteligencia de seguridad que incluyen dominios fraudulentos observados recientemente.
• Precaución al completar formularios web con datos personales. Asegúrese de que el sitio web sea legítimo y que el servicio de pago que ofrece es también legítimo.
