La campaña Emotet usó dominios estacionados para entregar cargas útiles de malware

La campaña Emotet usó dominios estacionados para entregar cargas útiles de malware

Los investigadores que monitorean el uso malicioso de dominios estacionados han identificado la botnet Emotet que usa esos dominios para distribuir cargas útiles de malware como parte de una campaña de phishing a gran escala.

Los propietarios de dominios estacionan sus dominios utilizando proveedores de servicios de estacionamiento para monetizarlos a través de redes publicitarias mientras no se utilizan para alojar un sitio web activo o un servicio en línea.

De los 6 millones de dominios estacionados recientemente detectados como estacionados entre marzo y septiembre de 2020 por Palo Alto Networks, alrededor del 1% comenzó a usarse como parte de campañas de malware o phishing.

"A menudo, los servicios de estacionamiento y las redes publicitarias no tienen los medios o la voluntad para filtrar a los anunciantes abusivos (es decir, atacantes)", Palo Alto Networks.

"Por lo tanto, los usuarios están expuestos a diversas amenazas, como la distribución de malware, la distribución de programas potencialmente no deseados (PUP) y estafas de phishing".

Índice()

    Entrega de Emotionet a través de dominios aparcados

    Los ataques se dirigieron a posibles víctimas de varios países de todo el mundo, incluidos Estados Unidos, Reino Unido, Francia, Japón, Corea e Italia, según investigadores del equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks.

    La campaña de Emotet se centró en diferentes sectores industriales que van desde el gobierno y la educación hasta la energía, la manufactura, la construcción y las telecomunicaciones.

    Uno de los dominios utilizados en estos ataques, vallemedicalandurgicalclínica[.]con, se registró por primera vez el 8 de julio de 2020 y se estacionó inmediatamente de acuerdo con el detector de estacionamiento de la Unidad 42.

    A partir del 14 de septiembre, solo dos meses después de su registro inicial, el dominio se volvió malicioso y se vio proporcionando varias muestras de malware.

    Además, se utilizó para difundir las cargas útiles de Emotet a través de correos electrónicos de phishing que llevaron al robo de credenciales y al control de los dispositivos infectados.

    Campaña Emotet
    Flujo de ataque de Emotet (Unidad 42)

    "Los documentos adjuntos a los correos electrónicos de phishing contienen secuencias de comandos de macros que llaman a los servidores C2 desde las máquinas de las víctimas", Unidad 42 explica.

    "Emotet descarga aún más cargas útiles troyanas que roban información de credenciales de las víctimas o incluso comprometen sus máquinas".

    Algunos de los ataques de Emotet dirigidos a organizaciones francesas también utilizaron cebos con temática de COVID-19 diseñados para explotar la ansiedad del objetivo sobre la pandemia actual, pero ninguno de estos ataques ha tenido éxito.

    Entidades del gobierno de EE. UU. También objetivo de Emotet

    Emotet, inicialmente un troyano bancario, cuando se detectó por primera vez en 2014, ahora se ha convertido en una botnet utilizada por el grupo de amenazas TA542 (también rastreada como Momia Araña) para entregar cargas útiles de malware de segunda etapa en dispositivos comprometidos.

    Las cargas útiles lanzadas por Emotet incluyen los troyanos QakBot y Trickbot (un vector de infección utilizado para distribuir el ransomware Ryuk y Conti).

    Desde que volvió a estar en línea en julio después de 5 meses de silencio, Emotet se ha posicionado constantemente en el puesto número 1 en una lista de las 10 principales cepas de malware analizadas en el Plataforma interactiva de análisis de malware Any.Run.

    Como reveló la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) en un aviso publicado el 6 de octubre, Emotet se ha dirigido a varios gobiernos estatales y locales de EE. UU. En campañas potencialmente específicas que han estado en marcha desde agosto.

    A julio, el "Sistema de Detección de Intrusos EINSTEIN, que protege las redes de los poderes ejecutivo civil y federal" ha detectado aproximadamente 16.000 alarmas relacionadas con Emotet según CISA.

    CISA aconseja a los administradores y usuarios que tengan cuidado al abrir archivos adjuntos de correo electrónico sospechosos, que utilicen software anti-malware y que bloqueen direcciones IP sospechosas para proteger sus redes y dispositivos de los ataques de Emotet.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir