El malware Emotet ataca a las empresas estadounidenses con COVID-19 spam

El malware Emotet ha comenzado a enviar correos electrónicos no deseados relacionados con COVID-19 a empresas estadounidenses después de no estar activo durante la mayor parte de la pandemia estadounidense.

Antes de apagarse el 7 de febrero de 2020, el malware Emotet solía enviar spam con el tema COVID-19 para distribuir malware en otros países ya afectados por la pandemia.

Como el inicio de la pandemia de EE. UU. Fue alrededor de marzo, Emotet nunca tuvo la oportunidad de apuntar a las empresas de EE. UU. Con spam relacionado con COVID-19.

Con la espalda de Emotet en pleno apogeo nuevamente después de despertar el 17 de julio de 2020, Emotet comenzó a arrojar spam COVID-19, y esta vez ahora se dirige a usuarios en los EE.

COVID-19 Emotet spam ahora apunta a organizaciones de EE. UU.
En un nuevo correo electrónico no deseado descubierto por el investigador de seguridad  Fate112 , Emotet ha estado enviando un correo electrónico robado que pretende ser de 'California Fire Mechanics' enviando una 'actualización de mayo COVID-19'.


Este correo electrónico no es una plantilla creada por los actores de Emotet, sino más bien un correo electrónico robado a una víctima existente y adoptado en las campañas de spam del malware.

Se adjunta al correo electrónico un archivo adjunto malicioso titulado 'EG-8777 Informe médico COVID-19.doc', que utiliza una plantilla de documento genérica utilizada en campañas anteriores.

Esta plantilla pretende ser creada desde un dispositivo iOS y requiere que los usuarios hagan clic en 'Habilitar contenido' para verlo correctamente.


Una vez que un usuario hace clic en el botón 'Habilitar contenido', se ejecutará un comando de PowerShell que descarga el ejecutable del malware Emotet de uno de tres a cuatro sitios.

En esta campaña en particular, cuando se descargue, Emotet se guardará en la carpeta% UserProfile% y se nombrará como un número de tres dígitos, como 498.exe.


Una vez ejecutada, la computadora de la víctima se convertirá en parte de la operación del bot de malware y enviará más correos electrónicos maliciosos.

En última instancia, Emotet descargará e instalará otro malware como Qbot o TrickBot, que se utilizará para robar sus datos, contraseñas y potencialmente conducir a la implementación de ransomware.

En una conversación con el experto en Emotet Joseph Roosen , se le dijo a BleepingComputer que recientemente se han visto otras campañas de COVID-19 usando correos electrónicos en cadena de respuesta.

"Hasta ahora solo lo hemos visto como parte de correos electrónicos de cadena de respuesta robados. Aún no lo hemos visto como una plantilla genérica, pero estoy seguro de que está a la vuelta de la esquina, jeje. Hubo una cadena de respuesta que vi ayer que fue enviada a Cientos de direcciones que se referían al cierre de una organización debido al covid-19. No me sorprendería si Ivan estuviera filtrando algunas de esas cadenas de respuesta para enfocarse en las que involucran al covid-19 ", dijo Roosen a BleepingComputer.

Ivan es el apodo de Roosen para los operadores rusos de malware Emotet.

La firma de seguridad de correo electrónico Cofense también le dijo a BleepingComputer que recientemente han estado viendo spam relacionado con COVID-19 que usa archivos adjuntos llamados "Informe COVID-19 08 12.doc" y similares.

Cofense afirma que la fecha del documento cambiará al día de la campaña.

Como Emotet es un malware tan peligroso que puede conllevar una variedad de riesgos, todos los usuarios domésticos y corporativos deben tener cuidado al abrir documentos que requieren que "Habilite el contenido".

Si recibe este tipo de correos electrónicos, primero escanee el archivo adjunto con un escáner antivirus para asegurarse de que sea seguro abrirlo. Incluso entonces, debes proceder con precaución.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta