Emotet se camufla en plantillas falsas de Windows Update

El temible Emotet ha estado utilizando plantillas falsas de Windows Update para enmascarar sus ataques.

Publicado el 19 Oct 2020

62802_84

El conocido troyano bancario Emotet ha estado utilizando plantillas falsas de Windows Update como parte de una campaña para enviar su malware a los sistemas de las víctimas. Eso es según los investigadores de Cryptolaemus, quienes afirman que las plantillas falsas se parecen a las alertas reales del sistema de Windows. Emotet es un malware sofisticado diseñado para robar información confidencial de los sistemas infectados después de instalar una variedad de malware adicional. Cuando se identificó por primera vez en 2014, Emotet era un troyano bancario que se propagaba principalmente a través de correos electrónicos maliciosos. Desde entonces, se ha convertido en una nueva forma de malware, con su propia botnet.

Debido a sus estrechos vínculos con otros grupos de ransomware, algunos países han comenzado a tratar a Emotet con el mismo nivel de urgencia que un ataque de ransomware. A las organizaciones en las que se encuentra un host infectado con Emotet se les pide que aíslen el sistema infectado para evitar que el malware infecte toda la red.

La infección de Emotet generalmente se propaga a través de mensajes de spam que contienen archivos maliciosos de Word o Excel que se hacen pasar por facturas, informes de pago, alertas COVID-19, datos de envío, oportunidades laborales y cualquier otro tipo de información importante para el destinatario.

Para engañar a los usuarios para que habiliten las macros, los operadores de Emotet utilizan una amplia variedad de señuelos, incluidas plantillas de documentos que pretenden ser creadas en diferentes plataformas (dispositivos Windows 10 Mobile, Android o iOS), indicando que el documento fue compilado en versiones anteriores de Office. etc.

Los investigadores de Cryptolaemus dijeron la semana pasada que los operadores de Emotet ahora están usando una nueva plantilla que se hace pasar por un mensaje de Windows Update. La plantilla indica que el usuario debe actualizar Microsoft Word porque el documento de malware no es compatible con los formatos de archivo admitidos por su software.

La campaña reciente se vio utilizando una técnica de secuestro de conversaciones, en la que los piratas informáticos se apoderan de los hilos de correo electrónico de las discusiones comerciales en curso e insertan documentos maliciosos como archivos adjuntos.

Los investigadores también observaron a Emotet instalando el troyano TrickBot en algunos hosts infectados, lo que sugiere que TrickBot sobrevivió a un intento reciente de Microsoft y sus socios de acabar con esta notoria botnet.

Microsoft versus TrickBot

Microsoft dice que sus equipos de seguridad y socios pasaron varios meses recolectando miles de muestras de malware TrickBot y rastreando la infraestructura que TrickBot usaba para comunicarse con los sistemas infectados. Un análisis detallado de las muestras y otra información permitió a los investigadores conocer las direcciones IP de los servidores de comando y control (C2) que los ciber actores estaban usando para controlar la botnet.

El 6 de octubre, un tribunal federal de Estados Unidos otorgó la aprobación de Microsoft para desactivar los servidores C2 que utilizaban los operadores de TrickBot.

El tribunal también ordenó la suspensión de todos los servicios ofrecidos a los operadores y el bloqueo de cualquier esfuerzo por parte de ellos para arrendar o comprar servidores adicionales.

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

C
Redacción Computing

Artículos relacionados

Artículo 1 de 2