Recientes infecciones de Emotet explotan macros de Excel

Las intrusiones recientes de Emotet han revelado el uso de macros ofuscadas de Excel para descargar y ejecutar el cargador. En intrusiones recientes, este se ejecutó utilizando regsvr32[.]exe. La primera etapa del ataque comienza con la distribución de correos electrónicos no deseados, que difunden documentos Office XLS como datos adjuntos. El documento utiliza macros de […]

Las intrusiones recientes de Emotet han revelado el uso de macros ofuscadas de Excel para descargar y ejecutar el cargador. En intrusiones recientes, este se ejecutó utilizando regsvr32[.]exe.

La primera etapa del ataque comienza con la distribución de correos electrónicos no deseados, que difunden documentos Office XLS como datos adjuntos.

El documento utiliza macros de Excel ofuscadas, y pide a los usuarios que habiliten el contenido para ejecutarla.

Cuando se ejecutan las macros, inicia varias funciones CALL y EXEC para descargar el Emotet Loader (malware).

En la segunda etapa, el cargador de Emotet despliega la carga útil cifrada en la memoria. Después de eso, esta se descifra y se escribe en el área de memoria asignada.

Evasión y persistencia

Los desarrolladores de Emotet han utilizado varios métodos y trucos para mejorar las capacidades de evasión y persistencia del malware. El documento malicioso consta de varias hojas de trabajo protegidas con contraseña. Estas hojas contienen varios caracteres repartidos por el área y escritos en color blanco para que la hoja parezca vacía.

Cuando se ejecuta con las macros habilitadas, esta intenta descargar el cargador mediante la función URLDownloadToFileA. Para la persistencia, se usa un servicio de Windows, que ejecuta la carga útil de Emotet usando regsvr32.exe.

En resumen, Emotet está activo y utiliza nuevas formas de técnicas de entrega para mantenerse relevante y sin ser detectado por las soluciones de seguridad.