News

Investigadores de seguridad desarrollan un exploit para limitar la acción y distribución del malware Emotet

Investigadores de seguridad han descubierto una vulnerabilidad en el malware Emotet y la han estado utilizando durante seis meses para interrumpir la distribución y funcionamiento de esta amenaza.

La vulnerabilidad fue descubierta por James Quinn, investigador de la compañía de seguridad Binary Defense, que le ha estado siguiendo el rastro a Emotet durante años para comprender su funcionamiento y encontrar modos de detener sus amenazas.

“La mayoría de las vulnerabilidades y exploits que aparecen en las noticias benefician a los atacantes y perjudican al resto de los usuarios”, dijo Quinn. “Sin embargo, es importante tomar en cuenta que el malware es software que también puede tener fallas. Así como los atacantes pueden explotar las fallas en software legítimos para hacer daño, los defensores pueden utilizar ingeniería inversa en el malware para descubrir sus vulnerabilidades y explotarlas para combatir el malware”.

Quinn descubrió la vulnerabilidad en febrero mientras estudiaba el código de una actualización de Emotet. Allí descubrió que el malware guardaba una llave de cifrado XOR dentro de una llave de registro de Windows nueva. Esta llave estaba diseñada para el sistema que evitaba que el malware quedara inhabilitado después de reiniciar los equipos, pero también se usaba en varias revisiones de código de Emotet.

Quinn aprovechó este descubrimiento para escribir un script PowerShell que usaba el mecanismo de la llave de registro para escanear el sistema y generar una llave de registro deforme. De esta manera, se forzaba un error en Emotet y dejaba de funcionar. Esto evitaba que el código de Emotet pudiera infectar equipos nuevos y a la vez evitaba la comunicación entre los equipos ya infectados con los servidores de Comando y Control.

Binary Defense trabajó con Team CYMRU para llevar a cabo esta operación. El equipo se aseguró de mantener el descubrimiento en secreto y distribuir la solución a los Equipos de Respuesta a Emergencias Informáticas (CERTs) de 125 países, que a su vez la compartieron con las compañías de sus jurisdicciones.

Emotet es uno de los programas maliciosos más destacados de la actualidad. Se descubrió en 2014 y se cree que opera desde países postsoviéticos. Pasó de ser un troyano bancario menor a una importante amenaza con capacidades de expansión notorias. La operación de Binary Defense y Team CYMRU representa un golpe significativo a las operaciones de los criminales.

Fuentes
For six months, security researchers have secretly distributed an Emotet vaccine across the world • ZDNet
Researchers exploited a bug in Emotet malware to create a killswitch, containing its spread for six months • Computing
Researchers Exploited A Bug in Emotet to Stop the Spread of Malware • The Hacker News

Investigadores de seguridad desarrollan un exploit para limitar la acción y distribución del malware Emotet

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada