Home » El sitio comercial de Uniden pirateado con el troyano Emotet
CIBERSEGURIDAD

El sitio comercial de Uniden pirateado con el troyano Emotet

Uniden Trojan

El sitio web de Uniden para productos de seguridad comercial se ha pirateado para alojar un documento de Word que ofrece lo que parece ser una variedad de jardín del troyano Emotet, también conocido como Geodo y Heodo.

En comparación con el sitio web principal de Uniden , que ofrece una amplia gama de productos electrónicos (radios, escáneres, detectores de radar, cámaras de instrumentos, refuerzos celulares), las soluciones disponibles en la rama comercial  se limitan a cámaras (tanto IP como analógicas), grabadores de video en red (NVR).

Emotet sentado agradable y cómodo

Descubierto por el rastreador de amenazas JTHL  , el archivo malicioso de Word se almacena en la carpeta ‘/ wp-admin / legale /’ e incluye una macro que descarga lo que parece ser una variante de Emotet, según URLhaus, un proyecto de abuse.ch que recopila, rastrea y comparte direcciones URL maliciosas con profesionales de la seguridad y administradores de red.

Con la ayuda de 265 investigadores voluntarios de seguridad, durante un período de aproximadamente diez meses, el proyecto URLhaus contribuyó a eliminar 100.000 sitios web  que participan activamente en la distribución de malware.

Según el análisis de URLhaus , el sitio web de Uniden entrega al menos una docena de cargas útiles y todas ellas tienen firmas para Heodo, otro nombre para Emotet. El proyecto agregó diez archivos maliciosos hoy, 12 de abril, y eliminó el mensaje erróneo que informaba que la URL peligrosa había sido eliminada.

Cuatro cargas útiles son archivos JavaScript, mientras que el resto son documentos de Microsoft Word (.DOC). En este momento, todas las cargas útiles son detectadas por los motores antivirus en el servicio de exploración de VirusTotal y coinciden con las firmas de Heodo.

Las macros están deshabilitadas de forma predeterminada en las suites populares como Microsoft Office y LibreOffice, pero los ciberdelincuentes se dirigieron a la ingeniería social para determinar a la víctima para activar el script y así iniciar la rutina de descarga de malware, y ofrecer instrucciones claras sobre cómo hacerlo.

La compañía ha sido notificada

No está claro cuándo se colocó el malware en el sitio web, pero aún está presente en el momento de escribir, a pesar de que la compañía fue alertada por primera vez de la situación en Twitter hace más de 24 horas.

Además, según el procedimiento de URLhaus cuando se agrega una URL maliciosa, se envía automáticamente una notificación al propietario de la red asociada a ella.

BleepingComputer también envió un correo electrónico a la compañía solicitando una declaración sobre la situación actual, pero no recibió una respuesta al momento de la publicación.

Uniden es un importante fabricante de equipos electrónicos, pero la popularidad y el tamaño de una organización no son motivo para disuadir a los cibercriminales de piratear sus sitios web y almacenar su malware.

Recientemente, el investigador de amenazas MalwareHunterTeam tuiteó sobre una situación similar con un subdominio de la Northwestern University para su Laboratorio de Fotografía Computacional, donde encontró varias cargas maliciosas, algunas de las cuales eran ransomware Shade.

También en este caso, los administradores tardaron más de un día desde la notificación en eliminar las amenazas.

Actualización [04.12.2019] : El artículo se ha editado para agregar la información más reciente de URLhaus sobre las nuevas cargas útiles de malware descubiertas en el sitio web de Uniden.

X