Enviado por dtorres el Mié, 20/02/2019 - 10:17

EMOTET, la botnet de distribución de troyanos bancarios más importante del mundo se encuentra activo en Latinoamerica con campañas masivas de Phishing y documentos adjuntos de tipo Microsoft Word principalmente como facturas, notificaciones de pago, alertas de cuentas bancarias, etc, y que simulan ser de organizaciones legítimas.

Su funcionamiento es el siguiente:

  • El usuario recibe un correo de phising con un documento adjunto
  • Documento de Office Word lanza powershell con un macro
  • Powershell descarga el troyano Emotet
  • Emotet crea persistencia via tareas programadas, registro y folder de inicio
  • Roba las contraseñas almacenadas en el sistema y el navegador
  • Roba las credenciales de correo
  • Recolecta correos de los archivos PST de Outlook
  • Usa las credenciales de robadas para enviar correos de phising a los contactos recolectados
  • Intenta infectar la red mediante SMB (fuerza bruta)



Solución:

  • Si recibe un documento de Word por correo electrónico y no conoce a la persona que lo envió, no lo abra.
  • Considere bloquear macros en documentos de Office Word
  • Se recomienda bloquear en su firewall los siguientes dominios e IPs usados para descargar el troyano.

109.104.79.48
116.240.3.27
120.63.148.9
144.76.117.247
159.65.76.245
176.205.111.228
177.242.215.65
178.92.73.34
181.143.194.138
181.167.49.76
181.169.58.108
181.54.202.80
185.38.216.84
186.129.174.150
187.163.213.124
187.178.233.96
187.207.58.148
190.112.228.47
190.17.173.58
190.190.101.38
190.55.123.250
190.6.24.248
192.155.90.90
200.43.114.10
200.83.21.5
201.103.81.129
201.231.70.72
210.2.86.72
219.94.254.93
23.254.203.51
31.193.130.187
45.70.90.134
45.73.27.218
50.116.63.9
69.158.10.125
69.163.33.82
69.195.223.154
70.55.70.147
72.47.248.48
79.66.242.43
95.78.115.115
95.9.248.89
adamallorca.org
buyhomecare.net
eupowersports.com
fitchburgchamber.com
fungryfood.com
hawthorneinstituteofmartialarts.com
injakala.com
innio.biz
inspek.com
istanbulklinik.com
jaspinformatica.com
johnnycrap.com
kemitraanmakaroni.com
kleveremart.com
kosardoor.com
kynangtuhoc.com
latuconference.com
letsspeakenglishonline.com
liarla.com
lignumpolska.com
lucaguarnieridesign.com
madhuraarts.com
modern-autoparts.com
mothergoosepublishing.com
motorworldwest.com
mrmclaughlin.com
mrtuz.com
mydogmybuddy.com
pariadkomindo.com
ray-beta.com
realitycomputers.nl
rinolfrecruitment.com
robledodetorio.com
sakivatansever.com
shantiniketangranthalay.com
sinarmas.pariadkomindo.com
sskymedia.com
tabaslotbpress.com
taboclub.com
tacticalintelligence.org
tanjongkrueng.id
tecno-logic.sci3e.com
themissfitlife.com
topablaze.com
toshitakahashi.com
tpmeehan.com
transactionmodeling.com
tresnexus.com
ugra-aquatics.ru
uicphipsi.com
voldprotekt.com
vuonnhatrong.com
waggrouponline.org
waliwalo.com
welovecreative.co.nz
weresolve.ca
wertedits.com
wp2.shopcoach.net
www.antique-carpets.com
www.araucarya.com
www.beard-companies.com
www.clubdirectors.tv
www.coeurofafrica.com
www.dawsonvillepropertymanagement.com
www.digivoter.com
www.espasat.com
www.eurolinecars.ru
www.fifajournal.com
www.gerasimiordan.com
www.grantkulinar.ru
www.jessie-equitation.fr
www.kartonaza-hudetz.hr
www.ksk-shkola.ru
www.lidstroy.ru
www.maracuja.ru
www.mir-krovli62.ru
www.mixturro.com
www.ng-tech.ru
www.nigellane.net
www.nkalitin.ru
www.pcengine.ru
www.pnhcenter.com
www.prakashdiwan.in
www.prom-engineering.com
www.reklamasvet.ru
www.rjsen.com
www.salonbellasa.sk
www.somerset.com.ar
www.step-up-web.ru
www.thepuffingtonhost.com
www.topsource-usa.com
www.unitepro.mx


Referencias:

  • https://blog.segu-info.com.ar/2019/02/troyano-emotet-muy-activo-en-america.html
  • https://www.us-cert.gov/ncas/alerts/TA18-201A