US-CERT alerta de potente ataque de malware Emotet en sectores gubernamentales, privados y públicos.


El equipo de US-Cert emitió una alerta para el ataque avanzado de malware bancario Emotet que apunta a los gobiernos, los sectores público y privado de la manera más destructiva para robar información sensible.

El malware de la banca Emotet se está extendiendo continuamente desde 2017 y es uno de los costosos troyanos bancarios que afecta principalmente a los gobiernos territoriales (SLTT).



Campaña de malware reciente que ofrece Malware de la banca Emotet A través de archivos adjuntos de documentos de Microsoft Office con "Tarjeta de felicitación" como el nombre del documento, secuestrar la API de Windows.

Es uno de los troyanos bancarios de rápida expansión que podría costar alrededor de $ 1 millón para recuperar las redes afectadas y los autores de malware están mejorando continuamente el malware para mantener la persistencia.

Emotet bancario es la principal responsabilidad del malware como dropper o downloader para eliminar los nuevos troyanos bancarios y es capaz de evadir la detección basada en firmas modificando las claves de registro.



Los autores de Emotet Malware utilizan técnicas muy inteligentes para alertar a la indicación falsa cuando se encuentran con el entorno virtual y la función de Modulos DLL ayuda a evolucionar y actualizar continuamente sus capacidades.



Proceso de infección por Malware Emotet

El malware bancario Emotet se está diseminando inicialmente a través del correo electrónico que contiene archivos adjuntos maliciosos o enlaces y los contantes del correo presentados como recibos legítimos de PayPal, enviando notificaciones para engañar a los usuarios para que lo abran.



Una vez que los usuarios hacen clic en el enlace o archivo adjunto o en el documento de habilitación macro, el troyano propaga su proceso de infección a través de las redes locales.

Según US-CERT, hay 5 módulos spreader conocidos utilizados por el malware de la banca Emotet:



  • NetPass.exe, WebBrowserPassView, Mail PassView, raspador de Outlook y un enumerador de credenciales.
  • NetPass.exe: herramienta para recuperar todas las contraseñas de red almacenadas en un sistema para el usuario que ha iniciado sesión actualmente.
  • Outlook scraper : rastrea los nombres y direcciones de correo electrónico de las cuentas de Outlook de la víctima usando Phising Emails.
  • Herramienta de recuperación de contraseñas WebBrowserPassView que captura las contraseñas almacenadas por los principales navegadores.
  • Mail PassView: ayuda a revelar las contraseñas y los detalles de la cuenta para varios clientes de correo electrónico.
  • Enumerador de credenciales: se usa para enumerar los recursos de red mediante el Bloque de mensajes del servidor (SMB) o intenta usar las cuentas de usuario de fuerza bruta.






Una vez que completa el proceso de infección, Emotet inyecta el código en explorer.exe y en otro proceso en ejecución y recopila la información sensible como el nombre del sistema, la ubicación y otra información confidencial y se conecta con el servidor de C & C.

Después de la comunicación establecida con el servidor de C & C, informa una nueva infección, recibe datos de configuración, descarga y ejecuta archivos, recibe instrucciones y carga datos al servidor C2.

más tarde compartirá los archivos robados y otros datos financieros sensibles de toda la red comprometida, lo que ocasionará la interrupción de las operaciones regulares, la pérdida temporal o permanente de información confidencial o de propiedad exclusiva.