EMOTET / TRICKBOT / RYUK – CAMPANYA VIRUS CORREUS

De que es Tracta

Com segurament sabreu, un virus molt maliciós conegut com a Emotet, ha reaparegut per robar dades financeres i registres de dades personals a Catalunya.

Feia uns mesos que semblava estar desaparegut, però una campanya de SPAM massiva ha fet saltar totes les alarmes a petites i grans empreses, també institucions governamentals, hospitals i particulars. Emotet es va descobrir per primera vegada al 2014 com a un Bot/Trojà utilitzat per robar credencials bancàries. Últimament, ha introduït varies capacitats avançades, entre d’altres, un mòdul d’ instal·lació, un mòdul bancari i un mòdul Dos. Emotet es distribueix principalment a través de correus electrònics de Phishing utilitzant diferents tècniques d’enginyeria social com són els clàssics “adjuntamos factura pendiente de pago”.

La importància i el fet diferencial que accentua la perillositat d’aquest Malware (stealer), resideix en el fet de que roba les credencials dels correus del Outlook, Thunderbrid, juntament amb l’historial de converses.

Com Actua

Actualment, la campanya de Emotet es centra en l’enviament de correus amb documents Word adjunts que, un cop s’obren, descarreguen i executen de manera transparent i totalment silenciosa el malware (stealer) que farà el següent:

  • Robarà les Cookies existents en el sistema operatiu per injectar-les als navegadors dels atacants i podrien entrar a pàgines com Gmail, Hotmail, Office 365 i d’altres que requereixin cookies.
  • Robarà documents de txt, o .Doc amb noms concrets pre-configurats. ( Passwords.doc, contraseñas.doc, datos bancarios.doc).
  • Robarà tots els contactes de correu que tinguem en els nostres gestors de correu Outlook i Thunderbird.
  • Recollirà l’historial de les converses que haguem tingut amb els nostres contactes de correu.
  • Robarà totes les credencials guardades en els navegadors i les utilitzades per “auto recordar-se” en Chrome, Firefox i Opera
  • Farà us de pàgines Webs amb Bots, des d’on enviarà correus als contactes suplantant l’ identitat del correu de la víctima.

La importància i el fet diferencial que accentua la perillositat d’aquest Malware (stealer), resideix en el fet de que roba les credencials dels correus del Outlook, Thunderbrid, com també converses de mails. peterpan@exemple.cat  pop3.exemple.cat , imap.exemple.cat  contrasenya: estemfotuts.

Robar l’historial de les converses que haguem tingut suposarà un problema gegant, ja que l’atacant podrà suplantar la nostra identitat, fer servir el nostre compte de correu per enviar als nostres contactes el mateix document Word maliciós. Tot plegat amb converses que ja haguem tingut referents a pressuposts enviats, factures, etc.

Aquest fet facilita a l’atacant propagar el Malware amb molta rapidesa. Les víctimes reben un correu on a la capçalera hi apareix un dels seus contactes, tot i que si ens hi fixem bé, veurem que el correu ha sigut enviat des d’altres comptes prèviament hackejades. És molt difícil no obrir un document que ens envia el nostre “gestor”  anomenat IVA_3er_trimestre.doc

També és important recordar que el Malware ens robarà les credencials dels navegadors. Entre aquestes credencials hi acostumen a aparèixer noms d’usuari i contrasenyes de pàgines de Paypal, Gmail, La Caixa, Santander, BBVA, Bankia…Si bé no disposen del nostre mòbil per rebre el OTP ( SMS de confirmació de transferències) o de la targeta de coordenades, poden utilitzar el SWIM SWAP, una tècnica que consisteix en clonar la nostra targeta SIM del mòbil per rebre els codis de les transferències bancàries.

Tipología i problemes afegits

Aquest Tipus del Malware és de la tipoligía “Stealer” (lladre), aquests es caracteritzen per la seva mida petita. Acostumen a ocupar molt poc, això permet que siguin descarregats amb el document Word ràpidament, executar-se i auto esborrar-se un cop robada tota la informació. En aquest cas però, el Emotec és persistent, s’injecta dins de processos del nostre sistema Windows permetent a l’atacant, després de revisar la informació obtinguda, decidir si enviar-nos i executar un altre Malware com TRICKBOT, que infectarà tota la nostra xarxa d’ordinadors o bé RYUK, que encriptarà totes les dades dels servidors de l’empresa per demanar-ne un rescat econòmic.

Que podem fer per protegir-nos ?

Actualment, aquest Malware viatja a través dels documents Word enviats entre 2-8 milions de comptes de correus, gairebé cap dels antivirus coneguts és capaç de detectar-lo ja que el Malware és xifrat a diari per evitar deteccions. Si bé existeixen diferents mètodes que ens podrien ajudar a atenuar la rebuda d’aquests correus amb aquests documents adjunts, ( Office 365, Gmail ), la millor prevenció és l’educació de l’usuari.

  • Cal revisar en tot moment qui ens envia el correu i si el text té sentit. És molt difícil no caure en els paranys, ja que els Hackers utilitzen enginyeria social molt ben estudiada.
  • La manera més fàcil en cas de dubte és posar-se en contacte per telèfon i verificar l’enviament del correu, o enviar un correu des d’un altre compte preguntant sobre la seva veracitat.
  • Tenir sempre els sistemes operatius dels nostres ordinadors actualitzats amb les ultimes versions.
  • Disposar de sistemes Antivirus de companyies conegudes, com ho són Kaspersky i Norton.

EN CAP CAS OBRIR L’ARXIU WORD/EXCEL que adjunta.

0 respostes

Deixa una resposta

Vols unir-te a la conversa?
No dubtis a contribuir!

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *