😎 60% Descuento:  Curso de Hacking Redes Inalámbricas >> Ver Más

Peligroso malware se está propagando a través de paquetes falsos de Adobe

El malware Emotet ahora está siendo distribuido a través de paquetes maliciosos de Windows App Installer que pretenden ser software Adobe PDF.

Emotet es una notoria infección de malware que se propaga a través de correos electrónicos de phishing y archivos adjuntos maliciosos. Una vez instalado, roba los correos electrónicos de las víctimas para otras campañas de spam y desplega malware, como TrickBot y Qbot, que comúnmente conducen a ataques de ransomware.

Los ciberdelincuentes detrás de Emotet ahora están infectando sistemas al instalar paquetes maliciosos utilizando una función incorporada de Windows 10 y Windows 11 llamada App Installer.

Los investigadores vieron anteriormente que este mismo método se usaba para distribuir el malware BazarLoader donde instalaba paquetes maliciosos alojados en Microsoft Azure.

Aprovechándose de  App Installer de Windows

Utilizando URLs y muestras de correo electrónico compartidas por el grupo de seguimiento de Emotet Cryptolaemus, te mostramos a continuación el flujo de ataque de la nueva campaña de correo electrónico de phishing.

Esta nueva campaña de Emotet comienza con correos electrónicos robados en cadena de respuesta que aparecen como respuesta a una conversación existente.

Estas respuestas simplemente le dicen al destinatario que “consulte el adjunto” y contienen un enlace a un supuesto PDF relacionado con la conversación por correo electrónico.

Correo electrónico de phishing de Emotet

Cuando se hace clic en el enlace, el usuario accederá a una página falsa de Google Drive. Esta página le pedirá que haga clic en un botón para obtener una vista previa del documento PDF.

Página de inicio de phishing que te solicita que obtengas una vista previa del PDF

Este botón ‘Vista previa de PDF’ es una URL de ms-appinstaller que intenta abrir un archivo de App Installer alojado en Microsoft Azure usando URLs en *.web.core.windows.net.

Por ejemplo, el enlace anterior abriría un paquete de App Installer en la siguiente URL de ejemplo: ms-appinstaller:?source=https://xxx.z13.web.core.windows.net/abcdefghi.appinstaller.

Un archivo de App Installer es simplemente un archivo XML que contiene información sobre el editor firmado y la URL del paquete de aplicaciones que se instalará.

Un archivo XML del App Installer Emotet

Cuando intentas abrir un archivo .appinstaller, el navegador de Windows te preguntará si deseas abrir el programa Windows App Installer para continuar.

Una vez que estés de acuerdo, se te mostrará una ventana del App Installer que te pedirá que instales el ‘Componente Adobe PDF’.

App Installer solicita la instalación del componente PDF falso de Adobe

Paquete malicioso

El paquete malicioso parece una aplicación legítima de Adobe, ya que tiene un ícono legítimo de Adobe PDF, un certificado válido que lo marca como una ‘Aplicación confiable’ e información falsa del editor. Este tipo de validación desde Windows es más que suficiente para que muchos usuarios confíen en la aplicación y la instalen.

Una vez que un usuario hace clic en el botón ‘Instalar’, App Installer descargará e instalará el paquete de aplicaciones malicioso alojado en Microsoft Azure. Este paquete de aplicaciones instala una DLL en la carpeta %Temp% y la ejecuta con rundll32.exe, como se muestra a continuación.

Instalación de la infección Emotet

Este proceso también copia la DLL como un archivo y carpeta con nombres aleatorios en %LocalAppData%, como se muestra a continuación.

Emotet guardado con un nombre de archivo aleatorio

Finalmente, se crea una ejecución automática (autorun) en HKCU\Software\Microsoft\Windows\CurrentVersion\Run para iniciar automáticamente la DLL cuando un usuario inicia sesión en Windows.

Ejecución automática del registro para iniciar Emotet cuando se inicia Windows

Emotet fue el malware más distribuido en el pasado hasta que una operación policial lo desactivó y se apoderó de la infraestructura de la botnet. Diez meses después, Emotet resucitó cuando comenzó a reconstruirse con la ayuda del troyano TrickBot.

Un día después, comenzaron las campañas de spam de Emotet , con correos electrónicos que llegaban a los buzones de correo de los usuarios. Estos correos se enviaban con varios señuelos y documentos maliciosos que instalan el malware.

Estas campañas le han permitido a Emotet construir su presencia rápidamente. Y, una vez más, realizar campañas de phishing a gran escala que instalan TrickBot y Qbot.

Las campañas de Emotet comúnmente conducen a ataques de ransomware. Los administradores de Windows deben estar al tanto de los métodos de distribución de malware y capacitar a los empleados para que detecten las campañas de Emotet.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información