Pese a los esfuerzos de la Europol a primeros de año por desarticular la infraestructura del que ha sido catalogado como uno de los virus informáticos más peligrosos del mundo, Emotet reaparece. Tan solo unos meses después, el malware TrickBot está siendo utilizado para distribuir lo que parece una nueva versión de Emotet entre los sistemas que previamente han sido infectados con TrickBot.
Según se puede leer en el nuevo informe realizado por Luca Ebach, el 14 de noviembre, Emotet fue detectado por su equipo de análisis cuando estaban ejecutando una muestra de TrickBot en su sandbox. Esta variante de Emotet tiene forma de archivo DLL. Cuando analizaron la muestra encontrada, parecía que había sido compilada unos minutos antes de que se observara su implementación en las botnet de TrickBot.
Algunas características de esta nueva variante son que el cifrado para ocultar los datos difiere de la versión anterior del malware y, además, la muestra encontrada emplea un certificado de autoridad autofirmado para poder usar HTTPS y proteger el tráfico de red, además de usar diversos flujos de control para ofuscar el código. Se puede ver una comparativa entre el código de una muestra antigua y la nueva en las imágenes siguientes donde se muestra que para ofuscar el código, en lugar de usar los flujos de control If-else, emplean un bucle while y la expresión switch-case.
El equipo de análisis, al que pertenece Luce Ebach, actualmente continúa la investigación para obtener más información sobre esta nueva variante y poder ponerle freno de nuevo a Emotet.
Más información:
https://cyber.wtf/2021/11/15/guess-whos-back/
https://thehackernews.com/2021/11/trickbot-operators-partner-with-shatak.html
https://unaaldia.hispasec.com/2021/04/la-europol-pone-fin-a-emotet.html
https://unaaldia.hispasec.com/2020/10/trick-or-treat-trickbot-vs-microsoft.html
Comentarios recientes