Emotet Malware regresa con nuevas técnicas de evasión

La operación de malware Emotet ha seguido refinando sus tácticas en un esfuerzo por pasar desapercibido, al mismo tiempo que actúa como conducto para otro malware peligroso como Bumblebee e IcedID.

Emotet, que resurgió oficialmente a fines de 2021 luego de un desmantelamiento coordinado de su infraestructura por parte de las autoridades a principios de ese año, ha seguido siendo una amenaza persistente que se distribuye a través de correos electrónicos de phishing.

Atribuido a un grupo de ciberdelincuencia rastreado como TA542 (también conocido como Gold Crestwood o Mummy Spider), el virus ha evolucionado de un troyano bancario a un distribuidor de malware desde su primera aparición en 2014.

El malware como servicio (MaaS) también es modular, capaz de implementar una variedad de componentes propietarios y gratuitos que pueden filtrar información confidencial de las máquinas comprometidas y llevar a cabo otras actividades posteriores a la explotación.

Las dos últimas incorporaciones al arsenal de módulos de Emotet comprenden un esparcidor SMB que está diseñado para facilitar el movimiento lateral utilizando una lista de nombres de usuario y contraseñas codificados, y un ladrón de tarjetas de crédito que apunta al navegador web Chrome.

Campañas recientes que involucran a la botnet han aprovechado señuelos genéricos con archivos adjuntos armados para iniciar la cadena de ataque. Pero con las macros convirtiéndose en un método obsoleto de distribución de carga útil e infección inicial, los ataques se han aferrado a otros métodos para colar a Emotet más allá de las herramientas de detección de malware.


"Con la última ola de correos electrónicos no deseados de Emotet, los archivos .XLS adjuntos tienen un nuevo método para engañar a los usuarios para que permitan que las macros descarguen el cuentagotas", reveló BlackBerry en un informe publicado la semana pasada. "Además de esto, las nuevas variantes de Emotet ahora se han movido de 32 bits a 64 bits, como otro método para evadir la detección".

El método consiste en indicar a las víctimas que muevan los archivos de Microsoft Excel señuelo a la carpeta Plantillas de Office predeterminada en Windows, una ubicación en la que confía el sistema operativo, para ejecutar macros maliciosas incrustadas en los documentos para entregar Emotet.

El desarrollo apunta a los constantes intentos de Emotet de reorganizarse y propagar otro malware, como Bumblebee e IcedID .

"Con su evolución constante durante los últimos ocho años, Emotet se ha vuelto cada vez más sofisticado en términos de tácticas de evasión; ha agregado módulos adicionales en un esfuerzo por propagarse aún más y ahora está propagando malware a través de campañas de phishing", dijo el canadiense. dijo la firma de ciberseguridad.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta