España está entre los objetivos de una campaña de emails que propaga Emotet

  • Actualidad

malware alerta

Perpetrada por el grupo cibercriminal TA542, la campaña está entre las de mayor volumen de emails, y se caracteriza por el uso del idioma local en los mensajes. El contenido malicioso enviado como Excel o archivo comprimido, contiene macros que liberan la carga de Emotet.

  Recomendados....

» Protegiendo el perímetro. Foro IT Digital Security On demand
» Foro Administración Pública Digital: progreso y vanguardia Acceso
» Digitalización y seguridad, motor de innovación del sector financiero  Informe

Tras cuatro meses ausente del panorama de amenazas, Emotet regresa. Según un análisis de Proofpoint, el grupo de ciberdelincuencia TA542 vuelve a distribuir correos electrónicos con el malware, siendo España uno de los objetivos de estos ataques. Estos no solo se lanzan en función de la ubicación de los destinatarios, sino que, además, los asuntos, los nombres de los archivos y el cuerpo de texto de cada correo electrónico están escritos en el idioma específico de las potenciales víctimas se caracterizan por el uso del idioma local. La campaña detectada a principios de noviembre se encuentra ya entre las de mayor volumen de emails. 

En general, la actividad de TA542 sigue siendo similar a la registrada anteriormente, pero con mejoras, incluidos nuevos señuelos en forma de archivos adjuntos de Excel, cambios en el binario de Emotet y una versión más ligera del loader IcedID, entre otros cambios. El contenido malicioso enviado como Excel o archivo comprimido, protegido por una contraseña con un Excel en su interior, contiene macros que liberan la carga de Emotet.

Se dan instrucciones para que las víctimas copien el archivo Excel dentro de unas plantillas de Microsoft Office, una ubicación de confianza para los usuarios, ejecutando inmediatamente las macros sin necesidad de más interacción. Queda por ver la eficacia de esta técnica que, si bien no necesita un clic adicional por parte del usuario, requiere mover el archivo, confirmar la acción y tener permisos de administrador.

Proofpoint alerta de que el regreso de TA542 puede ser preocupante: la entrega del loader IcedID como payload de seguimiento de infecciones de Emotet podría conducir a amenazas de ransomware, como se ha visto en otros casos.

“Emotet es una red de distribución de malware increíblemente potente que lleva años existiendo. Lo seguimos muy de cerca debido a su enorme persistencia, volumen de amenazas y tácticas innovadoras”, declara Sherrod DeGrippo, vicepresidenta de investigación y detección de amenazas de Proofpoint. “Lo particularmente interesante de esta reaparición es que Emotet sigue operando, evolucionando y no muestra signos de interrumpir sus operaciones”.