La peligrosa botnet Emotet está lanzando ataques nuevamente
La operación de malware Emotet volvió a enviar correos electrónicos no deseados después de unas “vacaciones” de casi cuatro meses. Durante ese periodo hubo poca actividad de la notoria operación de ciberdelincuencia.
Emotet es una infección de malware distribuida a través de campañas de phishing que contienen documentos maliciosos de Excel o Word. Cuando los usuarios abren estos documentos y habilitan los macros, la DLL de Emotet se descarga y carga en la memoria.
Una vez cargado, el malware busca y roba correos electrónicos para usarlos en futuras campañas de spam y despliega payloads adicionales como Cobalt Strike u otro malware que comúnmente conduce a ataques de ransomware.
Si bien Emotet se consideraba el malware más distribuido en el pasado, de repente dejó de enviar spam el 13 de julio de 2022.
El regreso de Emotet
Investigadores del grupo de investigación de Emotet, Cryptolaemus, informaron que en la madrugada del 2 de noviembre, la operación de Emotet volvió a cobrar vida repentinamente. Emotet comenzó a enviar spam a direcciones de correo electrónico en todo el mundo.
El investigador de amenazas de Proofpoint y miembro de Cryptolaemus, Tommy Madjar dijo que las campañas de correo electrónico de Emotet de hoy utilizan cadenas de respuesta de correo electrónico robadas para distribuir archivos adjuntos de Excel maliciosos.
A partir de muestras cargadas en VirusTotal, hemos visto archivos adjuntos dirigidos a usuarios de todo el mundo en varios idiomas y nombres de archivo, que fingen ser facturas, formularios electrónicos y otros señuelos.
A continuación puedes ver una lista parcial de ejemplos de nombres de archivos:
Scan_20220211_77219.xls
fattura novembre 2022.xls
BFE-011122 XNIZ-021122.xls
FH-1612 report.xls
2022-11-02_1739.xls
Fattura 2022 - IT 00225.xls
RHU-011122 OOON-021122.xls
Electronic form.xls
Rechnungs-Details.xls
Gmail_2022-02-11_1621.xls
gescanntes-Dokument 2022.02.11_1028.xls
Rechnungs-Details.xls
DETALLES-0211.xls
Dokumente-vom-Notar 02.11.2022.xls
INVOICE0000004678.xls
SCAN594_00088.xls
Copia Fattura.xls
Form.xls
Form - 02 Nov, 2022.xls
Nuovo documento 2022.11.02.xls
Invoice Copies 2022-11-02_1008, USA.xls
payments 2022-11-02_1011, USA.xls
La campaña de Emotet de hoy también presenta una nueva plantilla de archivos adjuntos de Excel que contiene instrucciones para evitar la vista protegida de Microsoft.
Cuando se descarga un archivo de Internet, incluso como un archivo adjunto de correo electrónico, Microsoft agrega un indicador especial Mark-of-the-Web (MoTW) al archivo.
Cuando un usuario abre un documento de Microsoft Office que contiene un indicador de MoTW, Microsoft Office lo abre en Vista protegida, lo que evita que se ejecuten macros que instalen malware.
"RELAUNCH REQUIRED In accordance with the requirements of your security policy, to display the contents of the document, you need to copy the file to the following folder and run it again:
for Microsoft Office 2013 x32 and earlier - C:\Program Files\Microsoft Office (x86)\Templates
for Microsoft Office 2013 x64 and earlier - C:\Program Files\Microsoft Office\Templates
for Microsoft Office 2016 x32 and later - C:\Program Files (x86)\Microsoft Office\root\Templates
for Microsoft Office 2016 x64 and later - C:\Program Files\Microsoft Office\root\Templates"
Sin embargo, en el nuevo archivo adjunto Excel de Emotet, puedes ver que los ciberdelincuentes están instruyendo a los usuarios para que copien el archivo en las carpetas de ‘Plantillas’ de confianza. Esto porque la acción omite la Vista protegida de Microsoft Office, incluso para los archivos que contienen un indicador MoTW.
Advertencia de Windows
Si bien Windows advierte a los usuarios que copiar un archivo en la carpeta ‘Plantillas’ requiere permisos de ‘administrador’, el hecho de que un usuario intente copiar el archivo indica que existe una buena posibilidad de que también presione el botón ‘Continuar’.
Cuando se inicia el archivo adjunto desde la carpeta ‘Plantillas’, simplemente se abren y ejecutan de inmediato los macros que descargan el malware Emotet.
El malware Emotet se descarga como DLL en varias carpetas con nombres aleatorios en %UserProfile%\AppData\Local
, como se muestra a continuación.
Los macros luego inician la DLL usando el comando legítimo regsvr32.exe.
Una vez descargado, el malware se ejecuta silenciosamente en segundo plano mientras se conecta al servidor de Comando y Control para obtener más instrucciones o para instalar payloads adicionales.
Madjar dijo que las infecciones de Emotet de hoy no han comenzado a lanzar payload de malware adicionales en los dispositivos infectados.
Sin embargo, en el pasado, Emotet era conocido por instalar el malware TrickBot y, más recientemente, las balizas de Cobalt Strike.
Estas balizas de Cobalt Strike se utilizan luego para el acceso inicial de las bandas de ransomware que se propagan lateralmente en la red, roban datos y, en última instancia, cifran los dispositivos.
Las infecciones de Emotet se utilizaron en el pasado para dar a las bandas de ransomware Ryuk y Conti acceso inicial a las redes corporativas.
Desde el cierre de Conti en junio, observamos a Emotet asociándose con las operaciones de ransomware BlackCat y Quantum para el acceso inicial en dispositivos ya infectados.