Detectada una campaña de spam coordinada que propaga Qbot y Emotet

  • Endpoint

spam correo

Ambas instancias de malware son capaces de robar los datos de los usuarios, recopilar datos en una red corporativa infectada, propagarse más allá en la red e instalar ransomware u otros troyanos. La actividad de la campaña se multiplicó por 10 en marzo, afectando a España entre otros países.

Kaspersky ha revelado un aumento significativo de la actividad de una campaña de correo electrónico malicioso que se dirige a los usuarios corporativos de varios países y propaga los peligrosos programas maliciosos Emotet y Qbot. Aunque esta campaña lleva unos meses en marcha, su actividad aumentó rápidamente, pasando de unos 3.000 correos electrónicos en febrero de 2022 a unos 30.000 en marzo, escritos en inglés, francés, húngaro, italiano, noruego, polaco, ruso, esloveno y español.

Qbot y Emotet son dos notorios troyanos bancarios que funcionan como parte de redes de botnets. Ambas instancias de malware son capaces de robar los datos de los usuarios, recopilar datos en una red corporativa infectada, propagarse más allá en la red e instalar ransomware u otros troyanos en otros dispositivos de la red. Una de las funciones de Qbot es también acceder y robar correos electrónicos.

La campaña de propagación del malware arranca una vez que los ciberdelincuentes interceptan la correspondencia ya existente y envían a los destinatarios un correo electrónico que contiene un archivo o un enlace, que a menudo conduce a un servicio de alojamiento en la nube legítimo. El objetivo del email es convencer a los usuarios de que sigan el enlace y descarguen un documento archivado y lo abran, a veces utilizando una contraseña mencionada en el correo electrónico, o simplemente abran un archivo adjunto del correo electrónico.

Para convencer a los usuarios de que abran o descarguen el archivo, los atacantes suelen afirmar que contiene alguna información importante, como una oferta comercial. En la mayoría de los casos, el documento descarga y lanza una biblioteca dinámica Qbot, pero Kaspersky también ha observado que algunos de estos documentos descargan Emotet en su lugar.

"Imitar la correspondencia de trabajo es un truco común empleado por los ciberdelincuentes; sin embargo, esta campaña es más complicada, ya que los atacantes interceptan una conversación existente y esencialmente se insertan en ella, lo que hace que estos mensajes sean más difíciles de detectar. Aunque este esquema puede parecerse a los ataques de compromiso del correo electrónico empresarial (BEC), en los que los atacantes se hacen pasar por un colega y mantienen una conversación con la víctima, aquí los atacantes no se dirigen a personas concretas; la correspondencia empresarial es sólo una forma inteligente de aumentar las posibilidades de que el destinatario abra los archivos”, señala Andrey Kovtun, experto en seguridad de Kaspersky.