Después de una pausa de tres meses, la operación de malware Emotet reanudó el envío de correos electrónicos peligrosos el martes por la mañana mientras restablecía su infraestructura y los dispositivos infectados en todo el mundo. Los archivos adjuntos de correo electrónico que contienen versiones infectadas de Microsoft Word y Excel son el vector principal para la propagación del infame malware Emotet. La DLL de Emotet se descargará y cargará en la memoria cuando el usuario abra uno de estos documentos con las macros activadas.
Cuando se instala Emotet, esperará pacientemente más instrucciones de su servidor C&C. Desafortunadamente, volvió.
Malware Emotet 2023
La botnet Emotet ha reiniciado el envío de correos electrónicos, según alertas de firma de ciberseguridad Cofense y la organización de seguimiento de Emotet Cryptolaemus.
🚨Emotet Awakens🚨 A partir de las 1200 UTC, Ivan finalmente logró que E4 enviara spam. Estamos viendo plantillas de Red Dawn que son muy grandes y llegan a más de 500 MB. Actualmente viendo un flujo decente de spam. Septeto de URL de carga útil y macros desagradables. Muestra: https://t.co/fWZ8n3PlFi 1/3 pic.twitter.com/r5uuiECWnp
— Cryptolaemus (@Cryptolaemus1) 7 de marzo de 2023
Según confirmación de Cofense a BleepingEquipola campaña de spam comenzó a las 7:00 a. m. ET, con volúmenes relativamente bajos en este momento.
“El primer correo electrónico que vimos fue alrededor de las 7 am EST. El volumen sigue siendo bajo en este momento a medida que continúan reconstruyendo y reuniendo nuevas credenciales para aprovechar y las libretas de direcciones para apuntar”.
-Cofense
¿Qué aspecto tiene el malware Emotet?
A continuación se muestra un ejemplo de cómo los actores de amenazas están cambiando las tácticas de la campaña anterior al enviar correos electrónicos que parecen facturas en lugar de cadenas de respuesta.
Cuando abre uno de estos correos electrónicos, generalmente encontrará un archivo ZIP que contiene documentos de Word que tienen un tamaño superior a 500 MB. Al incluir datos innecesarios, aumentan el tamaño del archivo y dificultan la detección por parte del software antivirus.
Se utilizó una plantilla “Red Dawn” de Emotet para preparar estos archivos .docx, y los lectores deben habilitar el contenido antes de verlos. Te recomendamos que hagas no hacer clic en eso.
¿Sabes que el hack de Acer está confirmado? ¡Los piratas informáticos ponen a la venta 160 GB de datos de la empresa!
Microsoft salva el día
Después de los cambios recientes realizados por Microsoft, es posible que el método actual no tenga mucho éxito ya que Emotet reconstruye su red.
Los documentos de Office descargados de Internet ya no contienen macros de forma predeterminada a partir de julio de 2022.
Los usuarios ahora serán recibidos con una advertencia que explica que las macros se han deshabilitado ya que el origen del archivo no se puede verificar cuando abren un documento de Emotet.
Con esta característica, es menos probable que las personas que reciben correos electrónicos de Emotet habiliten macros accidentalmente, a menos que tomen medidas activas para hacerlo.
