• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / La Europol pone fin a Emotet

La Europol pone fin a Emotet

29 abril, 2021 Por Javier Aranda 1 comentario

Una operación de Europol permitió actualizar Emotet el pasado 25 de abril para eliminar el malware de todos los equipos infectados.

Emotet comenzó siendo uno de tantos troyanos bancarios, con sus primeras apariciones en el año 2014. Después, con el paso del tiempo, terminó evolucionando a un malware modular. Incluía capacidades de spam vía email o de robo de dinero. Su principal función en los últimos tiempos era la de actuar como “downloader”. En esta faceta, servía para descargar y ejecutar otros malware como Trickbot. Hace unos meses comentamos en este blog cómo se consiguió detener su propagación.

Flujo de trabajo de Emotet. Fuente: CISA

El pasado 25 de abril, la Europol lanzó una actualización a la botnet con EmotetLoader.dll, una DLL de 32-bits que ejecuta una rutina para eliminar el malware de los equipos infectados. Dos investigadores de Malwarebytes, Jérôme Segura y Hasherezade, han analizado cómo funciona.

Una de las nuevas rutinas, uninstall_in_april, es la encargada de comprobar la fecha. Si la fecha límite ha pasado, el 25 de abril, se ejecuta la subrutina de desinstalación. En caso contrario, se sigue comprobando en bucle hasta que se cumpla la condición.

Rutina de comprobación de fecha. Fuente: Malwarebytes

La subrutina para desinstalar Emotet es sencilla. En primer lugar, elimina el servicio asociado a Emotet, después elimina la clave de registro e intenta mover el fichero a %temp%. Finalmente termina el proceso, que tiene en cuenta los dos mecanismos de persistencia del malware. La clave de registro se da en escenarios donde la instalación no requiere privilegios, y el servicio asociado se da cuando la muestra se ejecuta con privilegios de administrador.

La infraestructura de Emotet fue intervenida a finales de enero y las comunicaciones con la botnet se redirigieron a servidores Command and Control pertenecientes a la Oficina Federal de Investigación Criminal de Alemania (Bundeskriminalamt). Conviene recordar que esta actualización no elimina el malware instalado por Emotet.

Más información:
Emotet malware nukes itself today from all infected computers worldwide
Goodbye Emotet | Notorious Botnet Permanently Deleted
Cleaning up after Emotet: the law enforcement file

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Análisis Forense Digital

Sinfonier

Spring Boot & Angular

Publicado en: General, Malware Etiquetado como: emotet, europol, trickbot

Interacciones con los lectores

Comentarios

  1. NetVicious dice

    30 abril, 2021 a las 10:52 am

    Tan difícil hubiera sido añadir que sacase una ventana informando que el equipo había estado infectado y que el usuario debería pasar un antivirus. Sin poner enlaces ni proponer ningún antivirus en particular.

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.

Entradas recientes

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Routers de diversos fabricantes objetivos del nuevo malware ZuoRAT
  • Microsoft anuncia que ya ha solucionado los problemas con RRAS en Windows Server para todos los usuarios
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...