Investigadores de seguridad desarrollan un exploit para limitar la acción y distribución del malware Emotet

Investigadores de seguridad han descubierto una vulnerabilidad en el malware Emotet y la han estado utilizando durante seis meses para interrumpir la distribución y funcionamiento de esta amenaza.

La vulnerabilidad fue descubierta por James Quinn, investigador de la compañía de seguridad Binary Defense, que le ha estado siguiendo el rastro a Emotet durante años para comprender su funcionamiento y encontrar modos de detener sus amenazas.

“La mayoría de las vulnerabilidades y exploits que aparecen en las noticias benefician a los atacantes y perjudican al resto de los usuarios”, dijo Quinn. “Sin embargo, es importante tomar en cuenta que el malware es software que también puede tener fallas. Así como los atacantes pueden explotar las fallas en software legítimos para hacer daño, los defensores pueden utilizar ingeniería inversa en el malware para descubrir sus vulnerabilidades y explotarlas para combatir el malware”.

Quinn descubrió la vulnerabilidad en febrero mientras estudiaba el código de una actualización de Emotet. Allí descubrió que el malware guardaba una llave de cifrado XOR dentro de una llave de registro de Windows nueva. Esta llave estaba diseñada para el sistema que evitaba que el malware quedara inhabilitado después de reiniciar los equipos, pero también se usaba en varias revisiones de código de Emotet.

Quinn aprovechó este descubrimiento para escribir un script PowerShell que usaba el mecanismo de la llave de registro para escanear el sistema y generar una llave de registro deforme. De esta manera, se forzaba un error en Emotet y dejaba de funcionar. Esto evitaba que el código de Emotet pudiera infectar equipos nuevos y a la vez evitaba la comunicación entre los equipos ya infectados con los servidores de Comando y Control.

Binary Defense trabajó con Team CYMRU para llevar a cabo esta operación. El equipo se aseguró de mantener el descubrimiento en secreto y distribuir la solución a los Equipos de Respuesta a Emergencias Informáticas (CERTs) de 125 países, que a su vez la compartieron con las compañías de sus jurisdicciones.

Emotet es uno de los programas maliciosos más destacados de la actualidad. Se descubrió en 2014 y se cree que opera desde países postsoviéticos. Pasó de ser un troyano bancario menor a una importante amenaza con capacidades de expansión notorias. La operación de Binary Defense y Team CYMRU representa un golpe significativo a las operaciones de los criminales.

Fuentes
For six months, security researchers have secretly distributed an Emotet vaccine across the world • ZDNet
Researchers exploited a bug in Emotet malware to create a killswitch, containing its spread for six months • Computing
Researchers Exploited A Bug in Emotet to Stop the Spread of Malware • The Hacker News