Malware Emotet roba información financiera

• Publicado: 14/04/2019
• Importancia: Alta

---

Recursos afectados

Esta campaña como método de propagación utilizar spam, enviando correos en donde adjuntan un PDF disfrazado de facturas o archivos maliciosos, identificado como “__Denuncia_Activa_CL.PDF.bat”, o también enlaces o URLs dentro del cuerpo del mensaje.

Cuando el usuario abre el archivo este se conecta al servidor C2 para descargar un segundo script, el malware Emotet está empaquetado en un packed llamado Themida (es una aplicación para proteger programas, de forma que no se puedan alterar, pero también se usa para cifrar código malicioso y que no sea detectado por el antivirus).  El segundo script aprovecha la vulnerabilidad de Win rar para poner el malware en la capeta de inicio y a continuación, el dispositivo se reiniciará y el malware se volverá persistente en el inicio del sistema. Además de eso los atacantes diseñaron otras secciones que pueden rastrear la geolocalización del usuario, preferencias de idioma, enviando al servidor la fecha y hora de la inyección, tipo de sistema operativo del usuario, dirección IP y nombre del antivirus.   

Este malware no es nuevo y, una vez obtenido, el objetivo principal fue la exfiltración de credenciales de los usuarios para acceder a los servicios financieros y bancarios geolocalizados en Chile.

Hasta el momento se han detectado 1089 infecciones, 175 fueron afectadas en Chile, 162 en Estados Unidos, 137 en Alemania y 132 en Francia.    

Recursos afectados:

• BBVA net
• Santander
• CorpBanca
• Banco Falabella
• BCI
• Banco Security
• Banco Estado
• Banco de Chile

Etiquetas

• Amenaza
• Malware
• Impacto Banca