Los actores detrás de Emotet lanzan una nueva campaña de spam
- Endpoint
El troyano utiliza archivos maliciosos de Word y PDF que se presentan como facturas, notificaciones de pago, alertas bancarias, etc., aparentemente procedentes de organizaciones legítimas. Los temas usados en la campaña sugieren que se dirige a usuarios de habla inglesa y alemana.
También puedes leer... |
Emotet es una familia de troyanos bancarios conocida por su arquitectura modular, sus técnicas de persistencia y su autopropagación al estilo gusano. Se distribuye a través de campañas de spam que emplean una variedad de formas aparentemente legítimas para sus archivos adjuntos maliciosos, y se usa a menudo como descargador de cargas secundarias potencialmente más dañinas. Pues bien, tras un período de baja actividad, los actores maliciosos detrás de Emotet han lanzado una nueva campaña de spam a gran escala.
Según la telemetría de ESET, la última actividad de Emotet se lanzó el 5 de noviembre, siendo más activa en las Américas, el Reino Unido, Turquía y Sudáfrica. En esta campaña, el troyano utiliza archivos maliciosos de Word y PDF que se presentan como facturas, notificaciones de pago, alertas de cuentas bancarias, etc., que parecen provenir de organizaciones legítimas. Alternativamente, los correos electrónicos contienen enlaces maliciosos en lugar de archivos adjuntos. Los temas de correo electrónico utilizados en la campaña sugieren que se dirige a usuarios de habla inglesa y alemana.
El escenario de compromiso comienza cuando la víctima abre un archivo malicioso de Word o PDF adjunto a un correo electrónico no deseado que parece provenir de una organización legítima y familiar. Siguiendo las instrucciones del documento, la víctima habilita las macros en Word o hace clic en el enlace del PDF. La carga útil de Emotet se instala y se ejecuta, establece la persistencia en el equipo y reporta el compromiso exitoso a su servidor de C&C. A su vez, recibe instrucciones sobre los módulos de ataque y las cargas útiles secundarias a descargar.
Los módulos despliegan la funcionalidad de la carga útil inicial con una o más capacidades de robo de credenciales, propagación de la red, recolección de información confidencial, reenvío de puertos y otras. En cuanto a las cargas útiles secundarias, esta campaña ha visto cómo Emotet descarga TrickBot e IcedId en máquinas comprometidas.
Este reciente aumento en la actividad de Emotet solo demuestra que sigue siendo una amenaza activa, y una preocupación cada vez mayor debido a las actualizaciones recientes.