Emotet comienza a distribuir el malware bancario QakBot


El antiguo troyano bancario Emotet es noticia en las últimas semanas debido a su uso para infectar ordenadores con el malware bancario QakBot. Emotet, a día de hoy, se ha convertido en un ‘dropper’, ya que desde hace tiempo los atacantes han estado utilizando este malware como vector de entrada e infección del equipo.

Una vez infectado el equipo con Emotet, este es el encargado de descargar el ‘payload’ malicioso final, que generalmente se trata de otro tipo de malware.

La familia de malware que se venía utilizando como payload final era Trickbot, otro troyano bancario modular que permite el robo de credenciales bancarias, además del robo de credenciales de otros servicios, como cuentas de correo electrónico.

Debido a su funcionamiento basado en módulos que le permiten fácilmente aumentar su funcionalidad, Trickbot también ha comenzado a utilizarse como dropper, habitualmente para acabar infectando el equipo con ransomware, en la mayoría de casos Ryuk.

Aunque Trickbot puede utilizarse directamente como dropper sin necesidad de utilizar Emotet, y en muchas ocasiones ocurre esto, en los últimos meses lo más habitual ha sido el uso de Emotet como dropper o ‘loader’ de Trickbot, que finalmente se encarga de descargar e instalar el ransomware Ryuk.

Esta trifecta de loader-banker-ransomware es una de las amenazas principales en los últimos meses, aunque parece que esto podría cambiar con la entrada de QakBot en la ecuación.

 

Diferentes actores, mismo objetivo

Aunque en las infecciones recientes en las que se ha detectado el uso de Emotet junto a QakBot no se ha detectado un ataque ransomware al final, si que existen antecedentes de QakBot siendo utilizado por los atacantes como un vector de entrada para ransomware, concretamente se han visto infecciones del ransomware ProLock que se han producido a través de infecciones iniciales de QakBot, como ya comentamos hace algún tiempo en uno de nuestros posts.

QakBot podría haber llegado a la ecuación de la trifecta para quedarse, solo el tiempo nos dirá si finalmente reemplaza a Trickbot en esta ecuación, quedando estos ataques con una primera fase en la que Emotet actúa de dropper descargando e instalando QakBot, que finalmente podría infectar con ProLock el equipo para tratar de maximizar los beneficios de los atacantes tras el posible robo de credenciales y datos personales.

Parece difícil que se produzca un cambio de TrickbotQakBot debido a las posibilidades que ofrece el primero de ellos, y es que la modularidad de Trickbot parece más útil, sobretodo si uno de los objetivos finales es acabar realizando un ataque con ransomware en el sistema infectado.

Esta modularidad hace más sencillo este último paso, aunque ya sabemos que QakBot también puede utilizarse sin mayores problemas para lograrlo.

En cuanto a las funcionalidades de robo de credenciales bancarias, no parece haber cambios en las muestras de las últimas campañas en las que se ha utilizado junto a Emotet.

Los mecanismos de persistencia y de ejecución, utilizando un proceso ‘explorer.exe’ en el que se inyecta el código malicioso para evitar levantar sospechas, siguen siendo los mismos. Podemos verlo de forma clara en la siguiente tarea de análisis de una de estas muestras realizada en la plataforma Any.run.

EmotetQakBot-01

Ejecución de la muestra en Any.run que da lugar a la ejecución de diferentes subprocesos

En la anterior imagen de la ejecución en Any.run podemos ver como se van ejecutando diferentes subprocesos. Los procesos que incluyen como parámetro de ejecución ‘/C’ son los que se encargan de ejecutar las comprobaciones anti-análisis, que evitan la ejecución del malware en una máquina virtual.

Como podemos observar, la estructura de ejecución de procesos se repite en dos ocasiones antes de ejecutar el ‘explorer.exe’ e inyectar el código malicioso en él.

Esto se debe a que en la primera de ellas se instala el malware en la carpeta ‘%APPDATA%’ con un nombre aleatorio, mientras que en la segunda se ejecuta el binario copiado en dicha localización.

Una vez que este troyano se encuentra instalado y ejecutando, ejecuta un comando de consola que hace ‘ping’ a la dirección local de la propia máquina, y que finalmente copia el contenido del binario ‘calc.exe’ (Calculadora de Windows) en el binario inicial del malware, eliminando así cualquier rastro visible para el usuario.

El comando ‘ping’ se utiliza como una alternativa a la función ‘Sleep’, consiguiendo el mismo resultado pero evitando que en un entorno de análisis automatizado el tiempo de espera indicado no se ejecute.

 

Conclusiones

Emotet, un troyano bancario que desde hace meses viene utilizándose como ‘dropper’ con el principal objetivo de infectar el equipo con otro troyano bancario, Trickbot, ha comenzado a utilizarse en una campaña reciente para infectar equipos con un troyano bancario diferente: QakBot.

Aunque esto no es nuevo, ya que el año pasado fue cuando se vio por primera vez una campaña en la que los atacantes utilizaban Emotet y QakBot para infectar a sus víctimas.

Aunque no ha habido nuevas campañas en las que ambos hayan estado involucrados hasta esta última, no podemos descartar que esta relación entre malware vaya a seguir produciendose con mayor frecuencia a partir de ahora.

Por ello, debemos estar alerta y seguir con de cerca todas las novedades sobre Emotet y sus nuevas campañas, ya que nunca se sabe cuándo veremos nuevas estrategias y alianzas por parte de los desarrolladores de malware.

 

Publicado por David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.


¿Te ha gustado? Comparte en tus comunidades sociales.

 
Te recomendamos que leas...

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo