Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Emotet cambia la estructura de registro en el C2

  • Publicado: 29/12/2019
  • Importancia: Media

Recursos afectados

Emotet es un malware distribuido desde el año 2014 en mercados ilegales, para el año 2015, se convirtió en un software privado operado por Mealybug, es uno de los troyanos más activos dirigido a los usuarios del sector financiero.

A finales de noviembre del 2019, se ha identificado que el cliente de Emotet genera una cadena aleatoria como petición para registrarse ante el servidor de comando y control [C2], anteriormente generaba una petición aun directorio con nombre válido.


Ejemplo petición anterior:

hxxp://servidor.comando.control/entries/symbol

Ejemplo nueva petición:

hxxp://servidor.comando.control/7HHJbU

Este cambio probablemente lo realizaron con el fin de evitar que los investigadores de malware, identifiquen sus técnicas, tácticas y procedimientos.

Este es un breve resumen por el equipo CSIRT Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero, contáctenos a través del correo [email protected]

Etiquetas