Una operación de Europol permitió actualizar Emotet el pasado 25 de abril para eliminar el malware de todos los equipos infectados.
Emotet comenzó siendo uno de tantos troyanos bancarios, con sus primeras apariciones en el año 2014. Después, con el paso del tiempo, terminó evolucionando a un malware modular (https://unaaldia.hispasec.com/2020/02/emotet-infecta-dispositivos-conectados-a-redes-wi-fi-cercanas.html) . Incluía capacidades de spam vía email o de robo de dinero. Su principal función en los últimos tiempos era la de actuar como “downloader”. En esta faceta, servía para descargar y ejecutar otros malware como Trickbot. Hace unos meses comentamos en este blog cómo se consiguió detener su propagación (https://unaaldia.hispasec.com/2020/08/investigadores-de-seguridad-aprovecharon-un-fallo-de-emotet-para-detener-su-propagacion.html) .
Flujo de trabajo de Emotet. Fuente: CISA (https://us-cert.cisa.gov/ncas/alerts/TA18-201A)
El pasado 25 de abril, la Europol lanzó una actualización a la botnet con EmotetLoader.dll, una DLL de 32-bits que ejecuta una rutina para eliminar el malware de los equipos infectados. Dos investigadores de Malwarebytes, Jérôme Segura y Hasherezade, han analizado (https://blog.malwarebytes.com/threat-analysis/2021/01/cleaning-up-after-emotet-the-law-enforcement-file/) cómo funciona.
Una de las nuevas rutinas, uninstall_in_april, es la encargada de comprobar la fecha. Si la fecha límite ha pasado, el 25 de abril, se ejecuta la subrutina de desinstalación. En caso contrario, se sigue comprobando en bucle hasta que se cumpla la condición.
Rutina de comprobación de fecha. Fuente: Malwarebytes (https://blog.malwarebytes.com/threat-analysis/2021/01/cleaning-up-after-emotet-the-law-enforcement-file/)
La subrutina para desinstalar Emotet es sencilla. En primer lugar, elimina el servicio asociado a Emotet, después elimina la clave de registro e intenta mover el fichero a %temp%. Finalmente termina el proceso, que tiene en cuenta los dos mecanismos de persistencia del malware. La clave de registro se da en escenarios donde la instalación no requiere privilegios, y el servicio asociado se da cuando la muestra se ejecuta con privilegios de administrador.
La infraestructura de Emotet fue intervenida a finales de enero (https://www.justice.gov/opa/pr/emotet-botnet-disrupted-international-cyber-operation) y las comunicaciones con la botnet se redirigieron a servidores Command and Control pertenecientes a la Oficina Federal de Investigación Criminal de Alemania (Bundeskriminalamt). Conviene recordar que esta actualización no elimina el malware instalado por Emotet.
Más información:
Emotet malware nukes itself today from all infected computers worldwide (https://www.bleepingcomputer.com/news/security/emotet-malware-nukes-itself-today-from-all-infected-computers-worldwide/)
Goodbye Emotet | Notorious Botnet Permanently Deleted (https://digit.fyi/goodbye-emotet-notorious-botnet-permanently-deleted/)
Cleaning up after Emotet: the law enforcement file (https://blog.malwarebytes.com/threat-analysis/2021/01/cleaning-up-after-emotet-the-law-enforcement-file/)
Comentarios recientes