octubre 12, 2024

EMPREFINANZAS

ABRIENDO NUEVOS CAMINOS HACIA LA INFORMACION

Cómo proteger su organización contra Emotet y Omnatuor Malvertising Network de acuerdo a Infoblox

Ciudad de México, 23 de noviembre de 2022.

En la última edición del tercer trimestre de 2022 del Informe Trimestral de Inteligencia de Ciberamenazas, Infoblox se enfoca  y proporciona información sobre dos de las principales amenazas cibernéticas que las organizaciones deben conocer: Emotet y Omnatuor Malvertising Network.

EMOTET

Emotet es una notoria familia de malware que ha evolucionado significativamente a lo largo de los años: de un simple troyano bancario a una botnet a una infraestructura para la entrega de contenido. Infoblox ha estado monitoreando Emotet y proporcionando información sobre su actividad todo el tiempo.

Emotet existe desde 2014 y aumentó de enero a mayo de 2022 a medida que los autores de malware cambiaron las técnicas para evadir las crecientes contramedidas de Microsoft sobre la seguridad de VBA Macro. El Instituto Max Planck de Física del Plasma fue atacado el 12 de junio de 2022, y los informes recientes vuelven a colocar a Emotet en la parte superior de la lista de familias de malware con impacto que se extiende por todo el mundo.

Una característica constante de Emotet ha sido su uso del correo electrónico como vector de entrega. Los documentos de Microsoft Office han sido los archivos adjuntos de elección, y los archivos de Excel han sido los más frecuentes de estos documentos.

El análisis de Infoblox indica que los actores detrás de Emotet han hecho algunos intentos de proteger la red de nuevos derribos. Tal vez, como era de esperar, el uso de sitios web comprometidos y de correo electrónico como vector de entrega ha persistido, y esto nos ha permitido identificar y rastrear de manera confiable la actividad de Emotet. La visión de Infoblox del panorama de amenazas permite una comprensión detallada no solo de la prevalencia actual de Emotet en malspam, sino también de la ubicación y los servicios utilizados en su infraestructura.

A medida que Infoblox continúa investigando y monitoreando el comportamiento de Emotet,  proporcionará protección al negar el acceso a los dominios comprometidos utilizados para alojar  la  carga útil de Emotet, y ofrecerá inteligencia vital y procesable sobre  la  infraestructura de C&C de Emotet.

Se recomiendan las siguientes acciones para protegerse contra este tipo de ataque:

Para mitigar el riesgo de infección por amenazas conocidas, mantenga el software de seguridad actualizado y parcheado.

Llevar a cabo capacitación en concientización sobre seguridad en la organización. Es importante que todos estén al día con las últimas técnicas utilizadas por los atacantes para engañar a los usuarios que reciben correos electrónicos maliciosos.

Mejore la seguridad del perímetro de la red. El 99% de los ataques exitosos involucran algún tipo de comunicación de red. Contar con las herramientas adecuadas puede ayudar a identificar y minimizar el impacto de una amenaza como Emotet antes de que causen daños.

OMNATUOR MALVERTISING NETWORK – Secuestra la configuración del navegador para difundir el riskware.

Durante algún tiempo, Infoblox Threat Intelligence Group ha estado rastreando una red de publicidad maliciosa (la «Red de publicidad maliciosa de Omnatuor») que no solo abusa de las notificaciones push, ventanas emergentes y redireccionamientos dentro de un navegador, sino que continúa publicando anuncios incluso después de que el usuario navega fuera de la página inicial. Omnatuor ha sido descartado por la comunidad de seguridad como adware, una etiqueta que implica que la actividad es en gran medida una molestia. Esta respuesta ingenua subestima el peligro de la amenaza potencial que representa la publicidad maliciosa en general, y el actor Omnatuor en particular. Además de su capacidad para persistir, la red ofrece contenido peligroso.

El actor Omnatuor aprovecha las vulnerabilidades de WordPress y es eficaz en la propagación de riskware, spyware y adware. Utiliza una amplia infraestructura y tiene un amplio alcance en redes de todo el mundo. El dominio Omnatuor tiene una amplitud sospechosamente alta y volúmenes de consultas. Una mirada inicial a los datos de WHOIS reveló que el dominio se creó el 12 de julio de 2021. Desde que se registró, estuvo presente en el 45% al 48% de todas las redes de clientes y superó el 50% en varios momentos.  La mayoría de las redes contenían decenas, si no cientos, de miles de consultas para el dominio. De julio de 2021 a julio de 2022, observamos poco más de 25.4 millones de consultas únicas y resueltas a omnatuor[.] .com.

Esta campaña compromete sitios vulnerables de WordPress a través de código JavaScript o PHP malicioso incrustado. El código redirige a los usuarios o los obliga a ver y hacer clic en anuncios maliciosos a través de ventanas emergentes y notificaciones push.

Se recomienda tomar las siguientes medidas preventivas:

Configure las fuentes RPZ de Infoblox en firewalls. Esto puede detener los intentos de los actores de conectarse en el nivel de DNS, ya que todos los componentes descritos en este informe (sitios web comprometidos, dominios de redireccionamiento intermediarios, dominios DDGA y páginas de destino) requieren el protocolo DNS. TIG detecta estos componentes diariamente y los agrega a los feeds RPZ de Infoblox.

Para ayudar a bloquear los esfuerzos conocidos de publicidad maliciosa, aproveche el repositorio GitHub de indicadores asociados con Omnatuor Malvertising Network.32 Infoblox ofrece una muestra de indicadores en este artículo y continuará actualizando el repositorio de GitHub a medida que se descubran nuevos indicadores.

Utilice un programa de bloqueo de anuncios, como UBlock Origin. El adware se entrega a través de un script en línea, y bloquear solo los dominios y las direcciones IP a nivel de firewall o DNS no detendrá las notificaciones push, redirecciones o ventanas emergentes. Debido a que no se puede completar la consulta DNS, el contenido de esos vectores no se cargará; sin embargo, la experiencia de navegación seguirá siendo interrumpida.

Deshabilite JavaScript por completo o use una extensión web (como NoScript) para habilitar JavaScript solo en sitios de confianza.