Esta Alerta de Seguridad número 1 por el troyano EMOTET, debe enviarse por quién corresponda, a las entidades que se le subordinan en todo el país.
Emotet es un troyano polimórfico (cambia automáticamente su código cada cierto tiempo o con acciones determinadas del dispositivo). Anteriormente este malware se consideraba del tipo bancario, hoy en día está integrado con varias funciones maliciosas debido a que consta de varios módulos que descarga de su servidor C&C (comando y control), a saber:
• Modulo de spam
• Modulo de gusano de red
• Modulo para visualizar las contraseñas del correo electrónico
• Modulo para visualizar las contraseñas del navegador web
Este malware según información pública, está distribuyendo además varias familias de troyanos bancarios, como son Ursnif, TrickBot y en la mayoría de los casos IcedId.
Propagación.
La infección inicial se distribuye a través de spam de correo electrónico con la siguiente secuencia de eventos:
- Un correo electrónico no deseado con suplantación de identidad, cuyo origen es una cuenta de correo electrónico, en ocasiones conocida, seguida de otra no conocida. Ejemplo:
<xxx.xxx@dominio conocido xxx.xxx@dominio desconocido>
- Los correos electrónicos que llevan la carga útil, pueden contener la siguiente información:
Desde: {nombre falso y dirección de correo electrónico} como señalamos anteriormente
Asuntos tales como, aunque pueden variar:
Documento #{número}
Factura #{número}
Orden #{número}
Pago #{número}
Factura de pago #{número}
Boleto #{número}
En su Documento #{número}
Su pedido #{número}
Tu boleto #{número}
Estimado cliente,
Para leer el documento por favor, abra el archivo adjunto y responder lo más pronto posible.
Saludos cordiales
TCR de asistencia al cliente
- Este correo contiene un documento adjunto en Microsoft Word o PDF. O un enlace en el texto del mismo.
- El documento contiene código VBA (Visual Basic para aplicaciones) que al ser ejecutado decodifica e inicia un script Powershell.
- El script Powershell luego intenta descargar y ejecutar Emotet desde múltiples fuentes de URL para obtener malware desde las páginas maliciosas.
La lista de algunos enlaces URL descubiertos usados para distribuir el troyano Emotet:
hxxp://vanguardatlantic[.]com/Invoice-number-7121315833-issue/;
hxxp://abbeykurtz[.]com/VZZQNZJIZD9113942;
hxxp://charly-bass[.]de/Copy-Invoice-0954/;
hxxp://aplacetogrowtherapy[.]com/CNNKIAPGEP3572621
RECOMENDACIONES GENERALES
- Realice acciones de educación de usuarios empleando la presente Alerta de Seguridad No. 1 por campaña de propagación del troyano EMOTET.
- Ante la presencia de este tipo de correos, re enviarlos a la Empresa SEGURMATICA a la dirección de correos virus@segurmatica.cu.
- Instale un buen y confiable Antivirus, actualizado de manera permanente.
- Utilice un Sistema Operativo seguro. Si es posible, sustituya los sistemas Windows antiguos por las versiones más recientes.
- Considere una configuración más estricta de la pasarela de correo electrónico, para evitar la entrada de mensajes con estas características.
- Evite instalar programas no confiables o inseguros.
- Ejecute las actualizaciones del Sistema de forma segura.
- No abra ni ejecute archivos adjuntos por correo, chat, etc. procedentes de direcciones desconocidas o poco confiables.
- Nunca deshabilite las funciones de seguridad porque un correo electrónico o un documento lo dice
- Bloquear macros en documentos de Office.
- Ponga contraseñas seguras a su ordenador.
- Asegúrese de que los usuarios no tengan acceso de administrador predeterminado.
- No visite webs de hackeo, adultos, casinos online o de dudosa procedencia.
- Instalar un programa cortafuegos (Firewall).
- No permita utilizar su PC a otras personas.
- Cumplir estrictamente con los siguientes Artículos de la Resolución 127/2007 del Ministro de Comunicaciones, 43, 50, 53,64, 65 y 66.
Respetuosamente.
Equipo de Respuesta a Incidentes Computacionales de Cuba
OSRI
