Peligroso malware se está propagando a través de paquetes falsos de Adobe
El malware Emotet ahora está siendo distribuido a través de paquetes maliciosos de Windows App Installer que pretenden ser software Adobe PDF.
Emotet es una notoria infección de malware que se propaga a través de correos electrónicos de phishing y archivos adjuntos maliciosos. Una vez instalado, roba los correos electrónicos de las víctimas para otras campañas de spam y desplega malware, como TrickBot y Qbot, que comúnmente conducen a ataques de ransomware.
Los ciberdelincuentes detrás de Emotet ahora están infectando sistemas al instalar paquetes maliciosos utilizando una función incorporada de Windows 10 y Windows 11 llamada App Installer.
Los investigadores vieron anteriormente que este mismo método se usaba para distribuir el malware BazarLoader donde instalaba paquetes maliciosos alojados en Microsoft Azure.
Aprovechándose de App Installer de Windows
Utilizando URLs y muestras de correo electrónico compartidas por el grupo de seguimiento de Emotet Cryptolaemus, te mostramos a continuación el flujo de ataque de la nueva campaña de correo electrónico de phishing.
Esta nueva campaña de Emotet comienza con correos electrónicos robados en cadena de respuesta que aparecen como respuesta a una conversación existente.
Estas respuestas simplemente le dicen al destinatario que “consulte el adjunto” y contienen un enlace a un supuesto PDF relacionado con la conversación por correo electrónico.
Cuando se hace clic en el enlace, el usuario accederá a una página falsa de Google Drive. Esta página le pedirá que haga clic en un botón para obtener una vista previa del documento PDF.
Este botón ‘Vista previa de PDF’ es una URL de ms-appinstaller que intenta abrir un archivo de App Installer alojado en Microsoft Azure usando URLs en *.web.core.windows.net.
Por ejemplo, el enlace anterior abriría un paquete de App Installer en la siguiente URL de ejemplo: ms-appinstaller:?source=https://xxx.z13.web.core.windows.net/abcdefghi.appinstaller.
Un archivo de App Installer es simplemente un archivo XML que contiene información sobre el editor firmado y la URL del paquete de aplicaciones que se instalará.
Cuando intentas abrir un archivo .appinstaller, el navegador de Windows te preguntará si deseas abrir el programa Windows App Installer para continuar.
Una vez que estés de acuerdo, se te mostrará una ventana del App Installer que te pedirá que instales el ‘Componente Adobe PDF’.
Paquete malicioso
El paquete malicioso parece una aplicación legítima de Adobe, ya que tiene un ícono legítimo de Adobe PDF, un certificado válido que lo marca como una ‘Aplicación confiable’ e información falsa del editor. Este tipo de validación desde Windows es más que suficiente para que muchos usuarios confíen en la aplicación y la instalen.
Una vez que un usuario hace clic en el botón ‘Instalar’, App Installer descargará e instalará el paquete de aplicaciones malicioso alojado en Microsoft Azure. Este paquete de aplicaciones instala una DLL en la carpeta %Temp% y la ejecuta con rundll32.exe, como se muestra a continuación.
Este proceso también copia la DLL como un archivo y carpeta con nombres aleatorios en %LocalAppData%, como se muestra a continuación.
Finalmente, se crea una ejecución automática (autorun) en HKCU\Software\Microsoft\Windows\CurrentVersion\Run para iniciar automáticamente la DLL cuando un usuario inicia sesión en Windows.
Emotet fue el malware más distribuido en el pasado hasta que una operación policial lo desactivó y se apoderó de la infraestructura de la botnet. Diez meses después, Emotet resucitó cuando comenzó a reconstruirse con la ayuda del troyano TrickBot.
Un día después, comenzaron las campañas de spam de Emotet , con correos electrónicos que llegaban a los buzones de correo de los usuarios. Estos correos se enviaban con varios señuelos y documentos maliciosos que instalan el malware.
Estas campañas le han permitido a Emotet construir su presencia rápidamente. Y, una vez más, realizar campañas de phishing a gran escala que instalan TrickBot y Qbot.
Las campañas de Emotet comúnmente conducen a ataques de ransomware. Los administradores de Windows deben estar al tanto de los métodos de distribución de malware y capacitar a los empleados para que detecten las campañas de Emotet.
