Emotet cambia la estructura de registro en el C2
- Publicado: 29/12/2019
- Importancia: Media
- Recursos afectados
Emotet es un malware distribuido desde el año 2014 en mercados ilegales, para el año 2015, se convirtió en un software privado operado por Mealybug, es uno de los troyanos más activos dirigido a los usuarios del sector financiero.
A finales de noviembre del 2019, se ha identificado que el cliente de Emotet genera una cadena aleatoria como petición para registrarse ante el servidor de comando y control [C2], anteriormente generaba una petición aun directorio con nombre válido.
Ejemplo petición anterior:hxxp://servidor.comando.control/entries/symbol
Ejemplo nueva petición:
hxxp://servidor.comando.control/7HHJbU
Este cambio probablemente lo realizaron con el fin de evitar que los investigadores de malware, identifiquen sus técnicas, tácticas y procedimientos.
Este es un breve resumen por el equipo CSIRT Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero, contáctenos a través del correo [email protected]
- Etiquetas