Emotet es una familia de malware activa desde 2014, operada por un grupo de ciberdelincuencia conocido como Mealybug o TA542. Aunque comenzó como un troyano bancario, más tarde se convirtió en una botnet que se pasó a ser una de las amenazas más frecuentes en todo el mundo.
Se propaga a través de correos electrónicos no deseados y puede filtrar información e instalar malware a las computadoras comprometidas. Los operadores de Emotet no son muy exigentes con sus objetivos atacan tanto a individuos, como a empresas y organizaciones más grandes.
En enero de 2021, había sido objeto de un desmantelamiento como resultado de un esfuerzo de colaboración internacional de ocho países coordinado por Eurojust y Europol. Sin embargo, a pesar de esta operación, Emotet volvió a la vida en noviembre de 2021.
Puntos clave:
- Emotet lanzó múltiples campañas de spam desde que reapareció después de su eliminación.
- Mealybug creó múltiples módulos nuevos y mejoró todos los existentes.
- Desde su regreso, los operadores de Emotet pusieron gran esfuerzo en evitar el monitoreo y el seguimiento de la botnet.
- Actualmente está inactivo, probablemente debido a que no pudo encontrar un nuevo vector de ataque efectivo.
Imagen 1. Cronología de eventos relevantes desde su regreso.
Campañas de spam
Después del regreso, seguido de múltiples campañas de spam a fines de 2021, el comienzo de 2022 continuó con estas tendencias y registramos múltiples campañas de spam lanzadas por operadores de Emotet.
Durante este tiempo, se propagó principalmente a través de documentos maliciosos de Microsoft Word y Microsoft Excel con macros VBA (Visual Basic para Aplicaciones) incrustadas.
En julio de 2022, Microsoft cambió el juego para todas las familias de malware que habían utilizado correos electrónicos de phishing con documentos maliciosos como método de propagación, al deshabilitar las macros VBA en documentos obtenidos de Internet.
Como se puede ver en la Imagen 2, la actualización resultó en una caída significativa en los compromisos de Emotet y durante el invierno 2022 no observamos ninguna actividad significativa.
Este cambio fue había sido anunciado por Microsoft a principios de año e implementado originalmente a principios de abril, pero la actualización se había revertido debido a los comentarios de los usuarios.
La desactivación del vector de ataque principal de Emotet hizo que sus operadores buscaran nuevas formas de comprometer sus objetivos. Mealybug comenzó a experimentar, entonces, con archivos maliciosos LNK y XLL; necesitaban un nuevo vector de ataque que fuera tan efectivo como lo habían sido las macros VBA.
Imagen 2. Tendencia en la detección de Emotet, media móvil de 7 dias.
Campañas 2023
En 2023, realizaron tres campañas distintivas de malspam, cada una probando una vía de intrusión y una técnica de ingeniería social ligeramente diferentes. Sin embargo, la reducción del tamaño de los ataques y los cambios constantes en el enfoque pueden sugerir insatisfacción con los resultados.
La primera de esas tres campañas ocurrió alrededor del 8 de marzo de 2023, cuando la botnet Emotet comenzó a distribuir documentos de Word, enmascarados como facturas, con macros VBA maliciosas incrustadas. Algo bastante extraño porque las macros VBA estaban deshabilitadas por Microsoft de forma predeterminada, por lo que las víctimas no podían ejecutar código malicioso incrustado.
En su segunda campaña entre el 13 y el 18 de marzo, los atacantes aparentemente reconocieron estos defectos y, además de usar el enfoque de cadena de respuesta, también cambiaron de macros VBA a archivos OneNote (ONE) con VBScripts incrustados.
Si las víctimas abrían el archivo, eran recibidas por lo que parecía una página protegida de OneNote, pidiéndoles que hicieran clic en un botón Ver, detrás de este elemento gráfico había un VBScript oculto, configurado para descargar la DLL de Emotet.
A pesar de una advertencia de OneNote de que esta acción podría conducir a contenido malicioso, las personas tienden a hacer clic en indicaciones similares por hábito y, por lo tanto, pueden permitir que los atacantes pongan en peligro sus dispositivos.
La última campaña observada en la telemetría de ESET se lanzó el 20 de marzo, aprovechando la próxima fecha de vencimiento del impuesto sobre la renta en los Estados Unidos: los correos electrónicos maliciosos pretendían provenir del Servicio de Impuestos Internos (IRS) de la oficina de impuestos de los Estados Unidos y llevaban un archivo adjunto llamado formulario W-9.zip.
El archivo ZIP incluido contenía un documento de Word con una macro VBA maliciosa incrustada que la víctima probablemente tenía que habilitar.
Además de esta campaña, dirigida específicamente a los EE. UU., También observamos otra campaña que utilizaba VBScripts incrustado y el enfoque de OneNote que estaba en marcha al mismo tiempo.
Como se puede ver en la Imagen 3, la mayoría de los ataques detectados por ESET estaban dirigidos a Japón (43%), Italia (13%), aunque estos números pueden estar sesgados por la sólida base de usuarios de ESET en estas regiones.
Después de eliminar esos dos primeros países (para centrarse en el resto del mundo), en la Imagen 4 se puede ver que el resto del mundo también se vio afectado, con España (5%) en tercer lugar seguido de México (5%) y Sudáfrica (4%).
Imagen 3. Detecciones de enero 2022 – enero 2023.
Imagen 4. Detecciones enero 2022 – enero 2023 (Japón e Italia excluídas).
Protección y ofuscación mejoradas
Después de su reaparición, Emotet recibió múltiples actualizaciones. La primera característica notable es que la botnet cambió su esquema criptográfico. Antes del derribo, Emotet usaba RSA como su esquema asimétrico primario y después de la reaparición, la botnet comenzó a usar criptografía de curva elíptica.
Actualmente, cada módulo de downloader (también llamado módulo principal) viene con dos claves públicas integradas: uno se utiliza para el protocolo de intercambio de claves Diffie Hellman de curva elíptica, y el otro se utiliza para una verificación de firma -algoritmo de firma digital-.
Además de actualizar el malware a la arquitectura de 64 bits, Mealybug también ha implementado múltiples ofuscaciones nuevas para proteger sus módulos.
La primera ofuscación notable es el aplanamiento del flujo de control que puede ralentizar significativamente el análisis y localizar partes interesantes del código en los módulos de Emotet.
Mealybug también implementó y mejoró las técnicas de aleatorización, de las cuales las más notables son la del orden de los miembros de la estructura y la de instrucciones de cálculo de constantes (las constantes están enmascaradas).
Una actualización más que vale la pena mencionar ocurrió durante el último trimestre de 2022, cuando los módulos comenzaron a usar colas de temporizador.
La función principal de los módulos y la parte de comunicación se establecieron como una función de devolución de llamada -que es invocada por múltiples hilos-. Todo esto se combina con el aplanamiento del flujo de control, donde el valor de estado que administra qué bloque de código se invoca se comparte entre los hilos. Esta ofuscación se suma a otro obstáculo en el análisis y hace que el seguimiento del flujo de ejecución sea aún más difícil.
Nuevos módulos
Para seguir siendo malware rentable y prevalente, Mealybug implementó varios módulos nuevos, que se muestran en amarillo en la Imagen 5.
Algunos de ellos fueron creados como un mecanismo defensivo para la botnet, otros para una propagación más eficiente y, por último, pero no menos importante, un módulo que roba información que puede usarse para robar el dinero de la víctima.
Imagen 5. Módulos de uso frecuente por Emotet. En rojo los que existían antes del takedown; amarillo aquellos que aparecieron con su regreso.
Thunderbird Email Stealer y Thunderbird Contact Stealer
Emotet se propaga a través de correos electrónicos no deseados y las personas a menudo confían en esos correos electrónicos, porque utiliza con éxito una técnica de secuestro de hilos de correo electrónico.
Antes de la eliminación, Emotet usaba módulos que llamamos Outlook Contact Stealer y Outlook Email Stealer, que eran capaces de robar correos electrónicos e información de contacto de Outlook. Pero debido a que no todos usan Outlook, después del derribo, se centró también en una aplicación de correo electrónico alternativa gratuita: Thunderbird.
Emotet puede implementar un módulo Thunderbird Email Stealer en la computadora comprometida, que (como su nombre indica) es capaz de robar correos electrónicos.
El módulo busca a través de los archivos de Thunderbird que contienen mensajes recibidos (en formato MBOX) y roba datos de múltiples campos, incluidos el remitente, los destinatarios, el asunto, la fecha y el contenido del mensaje. Toda la información robada se envía a un servidor C&C para su posterior procesamiento.
Junto con Thunderbird Email Stealer, Emotet también despliega un Thunderbird Contact Stealer, que es capaz de robar información de contacto de Thunderbird. Este módulo también busca a través de los archivos de Thunderbird, esta vez buscando mensajes recibidos y enviados.
La diferencia es que este módulo solo extrae información de los campos De:, Para:, CC: y Cc: y crea un gráfico interno de quién se comunicó con quién, donde los nodos son personas, y hay una ventaja entre dos personas si se comunicaron entre sí.
En el siguiente paso, el módulo ordena los contactos robados, comenzando con las personas más interconectadas, y envía esta información a un servidor C&C.
Todo este esfuerzo se complementa con dos módulos adicionales (que ya existían antes del derribo): el módulo MailPassView Stealer y el módulo Spammer. MailPassView Stealer abusa de una herramienta legítima de NirSoft para la recuperación de contraseñas y roba credenciales de aplicaciones de correo electrónico.
Cuando se procesan correos electrónicos, credenciales e información robados sobre quién está en contacto con quién, Mealybug crea correos electrónicos maliciosos que parecen una respuesta a conversaciones previamente robadas y envía esos correos electrónicos junto con las credenciales robadas a un módulo Spammer que usa esas credenciales para enviar respuestas maliciosas a conversaciones de correo electrónico anteriores a través de SMTP.
Google Chrome Credit Card Stealer
Como su nombre indica, roba información sobre tarjetas de crédito almacenadas en el navegador Google Chrome. Para lograr esto, el módulo utiliza una biblioteca SQLite3 vinculada estáticamente para acceder al archivo de base de datos de datos web que generalmente se encuentra en %LOCALAPPDATA%\Google\Chrome\User Data\Default\Web Data.
El módulo consulta la tabla credit_cards para name_of_card, expiration_month, expiration_year y card_number_encrypted, que contiene información sobre las tarjetas de crédito guardadas en el perfil predeterminado de Google Chrome. En el último paso, el valor card_number_encrypted se descifra utilizando la clave almacenada en el archivo %LOCALAPPDATA%\Google\Chrome\User Data\Local State y toda la información se envía a un servidor C&C.
Módulos Systeminfo y Hardwareinfo
En noviembre de 2021 apareció un nuevo módulo que llamamos Systeminfo y que recopila información sobre un sistema comprometido y la envía al servidor C&C.
La información recopilada consiste en:
- Salida del comando systeminfo
- Salida del comando ipconfig /all
- Salida del comando nltest /dclist: (eliminado en octubre de 2022)
- Lista de procesos
- Tiempo de actividad (obtenido a través de GetTickCount) en segundos (eliminado en octubre de 2022)
En octubre de 2022, los operadores de Emotet lanzaron otro nuevo módulo que llamamos Hardwareinfo. Aunque no roba exclusivamente información sobre el hardware de una máquina comprometida, sirve como fuente complementaria de información para el módulo Systeminfo. Este módulo recopila los siguientes datos de la máquina comprometida:
- Nombre del equipo
- Nombre de usuario
- Información sobre la versión del sistema operativo, incluidos los números de versión principales y secundarios
- ID de sesión
- Cadena de marca de CPU
- Información sobre el tamaño y el uso de RAM
Ambos módulos tienen un propósito principal: verificar si la comunicación proviene de una víctima legítimamente comprometida o no.
Emotet fue, especialmente después de su regreso, un tema realmente candente en la industria de la seguridad informática y entre los investigadores, por lo que Mealybug hizo todo lo posible para protegerse del seguimiento y monitoreo de sus actividades.
Gracias a la información recopilada por estos dos módulos que no solo recopilan datos, sino que también contienen trucos anti-seguimiento y anti-análisis, las capacidades de Mealybug para distinguir a las víctimas reales de las actividades de los investigadores de malware o sandboxes se mejoraron significativamente.
¿Qué sigue?
Según la investigación y telemetría de ESET, las Epoch (sub-bonet) han estado tranquilas desde principios de abril de 2023. Actualmente no está claro si este es otro tiempo de vacaciones para los autores, si luchan por encontrar un nuevo vector de infección o si hay alguien nuevo operando la botnet.
Aunque no podemos confirmar los rumores de que una o ambas Epoch se vendieron a alguien en enero de 2023, notamos una actividad inusual en una de ellas.
La actualización más reciente del módulo descargador contenía una nueva funcionalidad, que registra los estados internos del módulo y realiza un seguimiento de su ejecución en un archivo C:\JSmith\Loader (Imágenes 6 y 7).
Debido a que este archivo tiene que existir para registrar algo, esta funcionalidad parece una salida de depuración para alguien que no entiende completamente lo que hace el módulo y cómo funciona.
Imagen 6. Registro del comportamiento del modulo de descarga.
Además, en ese momento la botnet también estaba difundiendo ampliamente los módulos Spammer, que se consideran más valiosos para Mealybug porque históricamente usaban estos módulos solo en máquinas que consideraban seguras.
Imagen 7. Registro del comportamiento del modulo de descarga.
Cualquiera que sea la explicación de por qué la botnet está tranquila, Emotet ha sido conocida por su efectividad y sus operadores hicieron un esfuerzo para reconstruir y mantener la botnet e incluso agregar algunas mejoras.
Por consultas sobre nuestra investigación publicada en WeLiveSecurity, contáctanos en threatintel@eset.com. ESET Research ofrece informes privados de inteligencia APT y fuentes de datos. Para cualquier consulta sobre este servicio, visita la página de ESET Threat Intelligence.
IoCs
Files
| SHA-1 | Filename | ESET detection name | Description |
|---|---|---|---|
| D5FDE4A0DF9E416DE02AE51D07EFA8D7B99B11F2 | N/A | Win64/Emotet.AL | Emotet Systeminfo module. |
| 1B6CFE35EF42EB9C6E19BCBD5A3829458C856DBC | N/A | Win64/Emotet.AL | Emotet Hardwareinfo module. |
| D938849F4C9D7892CD1558C8EDA634DADFAD2F5A | N/A | Win64/Emotet.AO | Emotet Google Chrome Credit Card Stealer module. |
| 1DF4561C73BD35E30B31EEE62554DD7157AA26F2 | N/A | Win64/Emotet.AL | Emotet Thunderbird Email Stealer module. |
| 05EEB597B3A0F0C7A9E2E24867A797DF053AD860 | N/A | Win64/Emotet.AL | Emotet Thunderbird Contact Stealer module. |
| 0CEB10940CE40D1C26FC117BC2D599C491657AEB | N/A | Win64/Emotet.AQ | Emotet Downloader module, version with timer queue obfuscation. |
| 8852B81566E8331ED43AB3C5648F8D13012C8A3B | N/A | Win64/Emotet.AL | Emotet Downloader module, x64 version. |
| F2E79EC201160912AB48849A5B5558343000042E | N/A | Win64/Emotet.AQ | Emotet Downloader module, version with debug strings. |
| CECC5BBA6193D744837E689E68BC25C43EDA7235 | N/A | Win32/Emotet.DG | Emotet Downloader module, x86 version. |
Network
| IP | Domain | Hosting provider | First seen | Details |
|---|---|---|---|---|
| 1.234.2[.]232 | N/A | SK Broadband Co Ltd | N/A | N/A |
| 1.234.21[.]73 | N/A | SK Broadband Co Ltd | N/A | N/A |
| 5.9.116[.]246 | N/A | Hetzner Online GmbH | N/A | N/A |
| 5.135.159[.]50 | N/A | OVH SAS | N/A | N/A |
| 27.254.65[.]114 | N/A | CS LOXINFO Public Company Limited. | N/A | N/A |
| 37.44.244[.]177 | N/A | Hostinger International Limited | N/A | N/A |
| 37.59.209[.]141 | N/A | Abuse-C Role | N/A | N/A |
| 37.187.115[.]122 | N/A | OVH SAS | N/A | N/A |
| 45.71.195[.]104 | N/A | NET ALTERNATIVA PROVEDOR DE INTERNET LTDA - ME | N/A | N/A |
| 45.79.80[.]198 | N/A | Linode | N/A | N/A |
| 45.118.115[.]99 | N/A | Asep Bambang Gunawan | N/A | N/A |
| 45.176.232[.]124 | N/A | CABLE Y TELECOMUNICACIONES DE COLOMBIA S.A.S (CABLETELCO) | N/A | N/A |
| 45.235.8[.]30 | N/A | WIKINET TELECOMUNICAÇÕES | N/A | N/A |
| 46.55.222[.]11 | N/A | DCC | N/A | N/A |
| 51.91.76[.]89 | N/A | OVH SAS | N/A | N/A |
| 51.161.73[.]194 | N/A | OVH SAS | N/A | N/A |
| 51.254.140[.]238 | N/A | Abuse-C Role | N/A | N/A |
| 54.37.106[.]167 | N/A | OVH SAS | N/A | N/A |
| 54.37.228[.]122 | N/A | OVH SAS | N/A | N/A |
| 54.38.242[.]185 | N/A | OVH SAS | N/A | N/A |
| 59.148.253[.]194 | N/A | CTINETS HOSTMASTER | N/A | N/A |
| 61.7.231[.]226 | N/A | IP-network CAT Telecom | N/A | N/A |
| 61.7.231[.]229 | N/A | The Communication Authoity of Thailand, CAT | N/A | N/A |
| 62.171.178[.]147 | N/A | Contabo GmbH | N/A | N/A |
| 66.42.57[.]149 | N/A | The Constant Company, LLC | N/A | N/A |
| 66.228.32[.]31 | N/A | Linode | N/A | N/A |
| 68.183.93[.]250 | N/A | DigitalOcean, LLC | N/A | N/A |
| 72.15.201[.]15 | N/A | Flexential Colorado Corp. | N/A | N/A |
| 78.46.73[.]125 | N/A | Hetzner Online GmbH - Contact Role, ORG-HOA1-RIPE | N/A | N/A |
| 78.47.204[.]80 | N/A | Hetzner Online GmbH | N/A | N/A |
| 79.137.35[.]198 | N/A | OVH SAS | N/A | N/A |
| 82.165.152[.]127 | N/A | 1&1 IONOS SE | N/A | N/A |
| 82.223.21[.]224 | N/A | IONOS SE | N/A | N/A |
| 85.214.67[.]203 | N/A | Strato AG | N/A | N/A |
| 87.106.97[.]83 | N/A | IONOS SE | N/A | N/A |
| 91.121.146[.]47 | N/A | OVH SAS | N/A | N/A |
| 91.207.28[.]33 | N/A | Optima Telecom Ltd. | N/A | N/A |
| 93.104.209[.]107 | N/A | MNET | N/A | N/A |
| 94.23.45[.]86 | N/A | OVH SAS | N/A | N/A |
| 95.217.221[.]146 | N/A | Hetzner Online GmbH | N/A | N/A |
| 101.50.0[.]91 | N/A | PT. Beon Intermedia | N/A | N/A |
| 103.41.204[.]169 | N/A | PT Infinys System Indonesia | N/A | N/A |
| 103.43.75[.]120 | N/A | Choopa LLC administrator | N/A | N/A |
| 103.63.109[.]9 | N/A | Nguyen Nhu Thanh | N/A | N/A |
| 103.70.28[.]102 | N/A | Nguyen Thi Oanh | N/A | N/A |
| 103.75.201[.]2 | N/A | IRT-CDNPLUSCOLTD-TH | N/A | N/A |
| 103.132.242[.]26 | N/A | Ishan's Network | N/A | N/A |
| 104.131.62[.]48 | N/A | DigitalOcean, LLC | N/A | N/A |
| 104.168.155[.]143 | N/A | Hostwinds LLC. | N/A | N/A |
| 104.248.155[.]133 | N/A | DigitalOcean, LLC | N/A | N/A |
| 107.170.39[.]149 | N/A | DigitalOcean, LLC | N/A | N/A |
| 110.232.117[.]186 | N/A | RackCorp | N/A | N/A |
| 115.68.227[.]76 | N/A | SMILESERV | N/A | N/A |
| 116.124.128[.]206 | N/A | IRT-KRNIC-KR | N/A | N/A |
| 116.125.120[.]88 | N/A | IRT-KRNIC-KR | N/A | N/A |
| 118.98.72[.]86 | N/A | PT Telkom Indonesia APNIC Resources Management | N/A | N/A |
| 119.59.103[.]152 | N/A | 453 Ladplacout Jorakhaebua | N/A | N/A |
| 119.193.124[.]41 | N/A | IP Manager | N/A | N/A |
| 128.199.24[.]148 | N/A | DigitalOcean, LLC | N/A | N/A |
| 128.199.93[.]156 | N/A | DigitalOcean, LLC | N/A | N/A |
| 128.199.192[.]135 | N/A | DigitalOcean, LLC | N/A | N/A |
| 129.232.188[.]93 | N/A | Xneelo (Pty) Ltd | N/A | N/A |
| 131.100.24[.]231 | N/A | EVEO S.A. | N/A | N/A |
| 134.122.66[.]193 | N/A | DigitalOcean, LLC | N/A | N/A |
| 139.59.56[.]73 | N/A | DigitalOcean, LLC | N/A | N/A |
| 139.59.126[.]41 | N/A | Digital Ocean Inc administrator | N/A | N/A |
| 139.196.72[.]155 | N/A | Hangzhou Alibaba Advertising Co.,Ltd. | N/A | N/A |
| 142.93.76[.]76 | N/A | DigitalOcean, LLC | N/A | N/A |
| 146.59.151[.]250 | N/A | OVH SAS | N/A | N/A |
| 146.59.226[.]45 | N/A | OVH SAS | N/A | N/A |
| 147.139.166[.]154 | N/A | Alibaba (US) Technology Co., Ltd. | N/A | N/A |
| 149.56.131[.]28 | N/A | OVH SAS | N/A | N/A |
| 150.95.66[.]124 | N/A | GMO Internet Inc administrator | N/A | N/A |
| 151.106.112[.]196 | N/A | Hostinger International Limited | N/A | N/A |
| 153.92.5[.]27 | N/A | Hostinger International Limited | N/A | N/A |
| 153.126.146[.]25 | N/A | IRT-JPNIC-JP | N/A | N/A |
| 159.65.3[.]147 | N/A | DigitalOcean, LLC | N/A | N/A |
| 159.65.88[.]10 | N/A | DigitalOcean, LLC | N/A | N/A |
| 159.65.140[.]115 | N/A | DigitalOcean, LLC | N/A | N/A |
| 159.69.237[.]188 | N/A | Hetzner Online GmbH - Contact Role, ORG-HOA1-RIPE | N/A | N/A |
| 159.89.202[.]34 | N/A | DigitalOcean, LLC | N/A | N/A |
| 160.16.142[.]56 | N/A | IRT-JPNIC-JP | N/A | N/A |
| 162.243.103[.]246 | N/A | DigitalOcean, LLC | N/A | N/A |
| 163.44.196[.]120 | N/A | GMO-Z com NetDesign Holdings Co., Ltd. | N/A | N/A |
| 164.68.99[.]3 | N/A | Contabo GmbH | N/A | N/A |
| 164.90.222[.]65 | N/A | DigitalOcean, LLC | N/A | N/A |
| 165.22.230[.]183 | N/A | DigitalOcean, LLC | N/A | N/A |
| 165.22.246[.]219 | N/A | DigitalOcean, LLC | N/A | N/A |
| 165.227.153[.]100 | N/A | DigitalOcean, LLC | N/A | N/A |
| 165.227.166[.]238 | N/A | DigitalOcean, LLC | N/A | N/A |
| 165.227.211[.]222 | N/A | DigitalOcean, LLC | N/A | N/A |
| 167.172.199[.]165 | N/A | DigitalOcean, LLC | N/A | N/A |
| 167.172.248[.]70 | N/A | DigitalOcean, LLC | N/A | N/A |
| 167.172.253[.]162 | N/A | DigitalOcean, LLC | N/A | N/A |
| 168.197.250[.]14 | N/A | Omar Anselmo Ripoll (TDC NET) | N/A | N/A |
| 169.57.156[.]166 | N/A | SoftLayer | N/A | N/A |
| 172.104.251[.]154 | N/A | Akamai Connected Cloud | N/A | N/A |
| 172.105.226[.]75 | N/A | Akamai Connected Cloud | N/A | N/A |
| 173.212.193[.]249 | N/A | Contabo GmbH | N/A | N/A |
| 182.162.143[.]56 | N/A | IRT-KRNIC-KR | N/A | N/A |
| 183.111.227[.]137 | N/A | Korea Telecom | N/A | N/A |
| 185.4.135[.]165 | N/A | ENARTIA Single Member S.A. | N/A | N/A |
| 185.148.168[.]15 | N/A | Abuse-C Role | N/A | N/A |
| 185.148.168[.]220 | N/A | Abuse-C Role | N/A | N/A |
| 185.168.130[.]138 | N/A | GigaCloud NOC | N/A | N/A |
| 185.184.25[.]78 | N/A | MUV Bilisim ve Telekomunikasyon Hizmetleri Ltd. Sti. | N/A | N/A |
| 185.244.166[.]137 | N/A | Jan Philipp Waldecker trading as LUMASERV Systems | N/A | N/A |
| 186.194.240[.]217 | N/A | SEMPRE TELECOMUNICACOES LTDA | N/A | N/A |
| 187.63.160[.]88 | N/A | BITCOM PROVEDOR DE SERVICOS DE INTERNET LTDA | N/A | N/A |
| 188.44.20[.]25 | N/A | Company for communications services A1 Makedonija DOOEL Skopje | N/A | N/A |
| 190.90.233[.]66 | N/A | INTERNEXA Brasil Operadora de Telecomunicações S.A | N/A | N/A |
| 191.252.103[.]16 | N/A | Locaweb Serviços de Internet S/A | N/A | N/A |
| 194.9.172[.]107 | N/A | Abuse-C Role | N/A | N/A |
| 195.77.239[.]39 | N/A | TELEFONICA DE ESPANA S.A.U. | N/A | N/A |
| 195.154.146[.]35 | N/A | Scaleway Abuse, ORG-ONLI1-RIPE | N/A | N/A |
| 196.218.30[.]83 | N/A | TE Data Contact Role | N/A | N/A |
| 197.242.150[.]244 | N/A | Afrihost (Pty) Ltd | N/A | N/A |
| 198.199.65[.]189 | N/A | DigitalOcean, LLC | N/A | N/A |
| 198.199.98[.]78 | N/A | DigitalOcean, LLC | N/A | N/A |
| 201.94.166[.]162 | N/A | Claro NXT Telecomunicacoes Ltda | N/A | N/A |
| 202.129.205[.]3 | N/A | NIPA TECHNOLOGY CO., LTD | N/A | N/A |
| 203.114.109[.]124 | N/A | IRT-TOT-TH | N/A | N/A |
| 203.153.216[.]46 | N/A | Iswadi Iswadi | N/A | N/A |
| 206.189.28[.]199 | N/A | DigitalOcean, LLC | N/A | N/A |
| 207.148.81[.]119 | N/A | The Constant Company, LLC | N/A | N/A |
| 207.180.241[.]186 | N/A | Contabo GmbH | N/A | N/A |
| 209.97.163[.]214 | N/A | DigitalOcean, LLC | N/A | N/A |
| 209.126.98[.]206 | N/A | GoDaddy.com, LLC | N/A | N/A |
| 210.57.209[.]142 | N/A | Andri Tamtrijanto | N/A | N/A |
| 212.24.98[.]99 | N/A | Interneto vizija | N/A | N/A |
| 213.239.212[.]5 | N/A | Hetzner Online GmbH | N/A | N/A |
| 213.241.20[.]155 | N/A | Netia Telekom S.A. Contact Role | N/A | N/A |
| 217.182.143[.]207 | N/A | OVH SAS | N/A | N/A |
MITRE ATT&CK techniques
This table was built using version 12 of the MITRE ATT&CK enterprise techniques.
| Tactic | ID | Name | Description |
|---|---|---|---|
| Reconnaissance | T1592.001 | Gather Victim Host Information: Hardware | Emotet gathers information about hardware of the compromised machine, such as CPU brand string. |
| T1592.004 | Gather Victim Host Information: Client Configurations | Emotet gathers information about system configuration such as the ipconfig /all and systeminfo commands. | |
| T1592.002 | Gather Victim Host Information: Software | Emotet exfiltrates a list of running processes. | |
| T1589.001 | Gather Victim Identity Information: Credentials | Emotet deploys modules that are able to steal credentials from browsers and email applications. | |
| T1589.002 | Gather Victim Identity Information: Email Addresses | Emotet deploys modules that can extract email addresses from email applications. | |
| Resource Development | T1586.002 | Compromise Accounts: Email Accounts | Emotet compromises email accounts and uses them for spreading malspam emails. |
| T1584.005 | Compromise Infrastructure: Botnet | Emotet compromises numerous third-party systems to form a botnet. | |
| T1587.001 | Develop Capabilities: Malware | Emotet consists of multiple unique malware modules and components. | |
| T1588.002 | Obtain Capabilities: Tool | Emotet uses NirSoft tools to steal credentials from infected machines. | |
| Initial Access | T1566 | Phishing | Emotet sends phishing emails with malicious attachments. |
| T1566.001 | Phishing: Spearphishing Attachment | Emotet sends spearphishing emails with malicious attachments. | |
| Execution | T1059.005 | Command and Scripting Interpreter: Visual Basic | Emotet has been seen using Microsoft Word documents containing malicious VBA macros. |
| T1204.002 | User Execution: Malicious File | Emotet has been relying on users opening malicious email attachments and executing embedded scripts. | |
| Defense Evasion | T1140 | Deobfuscate/Decode Files or Information | Emotet modules use encrypted strings and masked checksums of API function names. |
| T1027.002 | Obfuscated Files or Information: Software Packing | Emotet uses custom packers to protect their payloads. | |
| T1027.007 | Obfuscated Files or Information: Dynamic API Resolution | Emotet resolves API calls at runtime. | |
| Credential Access | T1555.003 | Credentials from Password Stores: Credentials from Web Browsers | Emotet acquires credentials saved in web browsers by abusing NirSoft’s WebBrowserPassView application. |
| T1555 | Credentials from Password Stores | Emotet is capable of stealing passwords from email applications by abusing NirSoft’s MailPassView application. | |
| Collection | T1114.001 | Email Collection: Local Email Collection | Emotet steals emails from Outlook and Thunderbird applications. |
| Command and Control | T1071.003 | Application Layer Protocol: Mail Protocols | Emotet can send malicious emails via SMTP. |
| T1573.002 | Encrypted Channel: Asymmetric Cryptography | Emotet is using ECDH keys to encrypt C&C traffic. | |
| T1573.001 | Encrypted Channel: Symmetric Cryptography | Emotet is using AES to encrypt C&C traffic. | |
| T1571 | Non-Standard Port | Emotet is known to communicate on nonstandard ports such as 7080. |
