Emotet Banking Trojan ama a los proveedores de Internet de EE. UU.

Emotet

Según los nuevos datos de TrendMicro, los atacantes que utilizaban el troyano bancario Emotet usaban predominantemente proveedores de Internet ubicados en los EE. UU. Para alojar su infraestructura de Comando y Control.

En una publicación reciente del blog, TrendMicro afirma que los Estados Unidos de América, con una participación del 45%, aloja más infraestructura Emotet C2 a través de Comcast, seguido de México y Canadá. Los 3 principales números de ASN que se utilizan para hospedar los servidores C2 son 7922 (Comcast Cable), 8151 (Telmex) y 22773 (Cox Communications). Esta infraestructura se determinó mediante el seguimiento activo de Emotet y con cerca de 15 mil artefactos que oscilaron entre junio y septiembre de 2018.

Top Countries hosting Emotet C&C servers

Emotet utiliza certificados RSA para la comunicación confidencial y, al analizar las muestras de malware de Emotet, se observó que, en promedio, una sola muestra contiene 39 direcciones C2 diferentes. Cada C2 utiliza uno de los seis certificados RSA y al rastrear las muestras y los certificados utilizados por el C2, TrendMicro pudo dividir los seis certificados en dos grupos; Con tres certificados por grupo.

Estos dos grupos muestran que son dos infraestructuras C2 separadas que operan en paralelo. TrendMicro afirma que esto hace que sea "más difícil rastrear a Emotet y minimizar la posibilidad de fallo". La correlación entre las campañas conocidas y los dos grupos de infraestructura muestra una clara distinción entre los dos e indica una agenda diferente que incluso puede ser controlada por diferentes operadores.

La investigación analiza más a fondo la revisión de las marcas de tiempo de compilación para hacer una hipótesis de que el autor puede operar en UTC +10, lo que los coloca en el este de Rusia o en el este de Australia. Sin embargo, TrendMicro admite que esto es una mera especulación, ya que al menos tres máquinas separadas se usan para empaquetar y operar zonas horarias variadas. También se ha sabido que los actores de amenazas cambian su ubicación y zonas horarias para confundir a los ingenieros inversos.

Mientras que gran parte del mundo se ve afectado por Emotet, Europa y los Estados Unidos han sido los más impactados. Es irónico que la infraestructura utilizada por Emotet se encuentre en las mismas regiones que las víctimas, pero indica además que estas regiones están bien conectadas y contienen alojamiento barato y nodos fácilmente comprometidos.

(0 votes)