Notorious Emotet Malware regresa con una campaña de malspam

Iniciado por Dragora, Noviembre 23, 2022, 12:37:45 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


El notorio malware Emotet ha regresado con renovado vigor como parte de una campaña de malspam de alto volumen diseñada para lanzar cargas útiles como IcedID y Bumblebee .

Se han enviado "cientos de miles de correos electrónicos por día" desde principios de noviembre de 2022, dijo la empresa de seguridad empresarial Proofpoint la semana pasada, y agregó: "la nueva actividad sugiere que Emotet está volviendo a su funcionalidad completa actuando como una red de entrega para las principales familias de malware".

Entre los principales países objetivo se encuentran EE. UU., Reino Unido, Japón, Alemania, Italia, Francia, España, México y Brasil.

La actividad relacionada con Emotet se observó por última vez en julio de 2022, aunque desde entonces se han informado infecciones esporádicas . A mediados de octubre, ESET reveló que Emotet podría estar preparándose para una nueva ola de ataques y señaló las actualizaciones de su módulo "systeminfo".

El malware, que se atribuye a un actor de amenazas conocido como Mummy Spider (también conocido como Gold Crestwood o TA542), protagonizó una especie de renacimiento a fines del año pasado después de que su infraestructura fuera desmantelada durante una operación coordinada de aplicación de la ley en enero de 2021.

Europol llamó a Emotet el "malware más peligroso del mundo" por su capacidad de actuar como "principal abridor de puertas para los sistemas informáticos" para implementar binarios de próxima etapa que facilitan el robo de datos y el ransomware. Comenzó en 2014 como un troyano bancario antes de convertirse en una botnet.


Se sabe que las cadenas de infección que involucran el malware emplean señuelos genéricos, así como la técnica de secuestro de hilos de correo electrónico para atraer a los destinatarios a abrir archivos adjuntos de Excel habilitados para macros.

"Tras el reciente anuncio de Microsoft de que comenzaría a deshabilitar las macros de forma predeterminada en los documentos de Office descargados de Internet, muchas familias de malware han comenzado a migrar de las macros de Office a otros mecanismos de entrega como archivos ISO y LNK", dijo Cisco Talos a principios de este mes.


"Por lo tanto, es interesante notar que esta nueva campaña de Emotet está utilizando su antiguo método de distribución de documentos maliciosos de Microsoft Office (maldocs) a través de phishing basado en correo electrónico.

Un método alternativo insta a las posibles víctimas a copiar el archivo en una ubicación de plantilla de Microsoft Office, una ubicación confiable, y ejecutar el documento de señuelo desde allí en lugar de tener que habilitar macros explícitamente para activar la cadena de eliminación.

La actividad renovada también ha ido acompañada de cambios en el componente del cargador de Emotet, una reimplementación de las comunicaciones de C2 utilizando la API de Windows Timer Queue , la adición de nuevos comandos y actualizaciones del empaquetador para resistir la ingeniería inversa.

Una de las cargas útiles de seguimiento distribuidas a través de Emotet es una nueva variante del cargador IcedID, que recibe comandos para leer y enviar contenidos de archivos a un servidor remoto, además de ejecutar otras instrucciones de puerta trasera que le permiten extraer datos del navegador web.

El uso de IcedID es preocupante, ya que probablemente sea un precursor del ransomware, señalaron los investigadores. Otro malware lanzado a través de Emotet es Bumblebee , según la Unidad 42 de Palo Alto Networks.

"En general, estas modificaciones realizadas en el cliente indican que los desarrolladores están tratando de disuadir a los investigadores y reducir la cantidad de bots falsos o cautivos que existen dentro de la botnet", dijeron los investigadores Pim Trouerbach y Axel F.

"Emotet no ha demostrado una funcionalidad completa y una entrega de carga útil de seguimiento constante (eso no es Cobalt Strike) desde 2021, cuando se observó que distribuía The Trick y Qbot".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta