Desde que reanudaron las operaciones después de un periodo de vacaciones, los actores maliciosos detrás de la red de troyanos bancarios de Emotet, según los informes, se han dirigido a al menos 82 países con spam y han creado una campaña especial de phishing dirigida a las Naciones Unidas.
Mientras tanto, un informe adicional reveló un aumento en la actividad de phishing de Emotet dirigida a entidades gubernamentales y militares en los últimos meses de 2019, con signos de esta tendencia que continúa en el nuevo año.
Citando al investigador Joseph Roosen, y la firma de seguridad de correo electrónico Cofense , BleepingComputer informó a principios de esta semana que la red Emotet lanzó un importante ataque de spam el 13 de enero, con un fuerte enfoque en los EE. UU., Después de un descanso de tres semanas.
Según se informa, muchos de los correos electrónicos de phishing pretendían contener archivos adjuntos de Microsoft Word relacionados con la empresa, como documentos y acuerdos de prueba de entrega. Los usuarios que abrieron estos archivos adjuntos y habilitaron las macros maliciosas incrustadas en ellos se infectaron posteriormente con Emotet.
Se envió un correo de phishing de Emotet especialmente dirigido a 600 direcciones de correo electrónico de las Naciones Unidas, declaró BleepingComputer en un segundo informe. El correo electrónico, también visto por investigadores de Cofense, parecía ser de representantes de la Misión Permanente o Noruega, sugiriendo falsamente que hay un problema con un acuerdo adjunto e instruyendo al destinatario para que revise el documento.
Aunque todavía se describe como un troyano bancario, Emotet también puede robar datos y credenciales y actuar como un descargador que conduce a cargas secundarias maliciosas como el ransomware Ryuk y el troyano bancario TrickBot.
Además, como modo de autopropagación, Emotet puede acceder a la bandeja de entrada de la víctima y responder a los diversos correos electrónicos no leídos que contiene, utilizando el contenido robado de los correos no leídos para hacerse pasar por la víctima original. Estos correos electrónicos de respuesta se entregan a través de una red de cuentas SMTP salientes robadas, todo en un intento de engañar a los contactos de correo electrónico de la víctima para que abran un archivo adjunto malicioso y se infecten ellos mismos, explica Cisco Talos en un informe de blog publicado hace unos días.
Talos continúa, es esta funcionalidad de hombre en el medio (MITM, Man In The Middle), lo que probablemente ha causado un aumento reciente en los mensajes de spam de Emotet dirigidos a TLD militares (.mil) y gubernamentales (.gov). El volumen de estos correos electrónicos en particular aumentó constantemente de septiembre a diciembre de 2019, alcanzando su punto máximo en el último mes del año. Después de un descanso de vacaciones, parece que la tendencia continúa, aunque en pequeñas cantidades.
Talos cree que al menos parte de esta actividad fue precipitada por Emotet comprometiendo con éxito al menos a una persona que trabaja en o para el gobierno de los Estados Unidos. A partir de ahí, el malware emitió correos electrónicos de phishing adicionales a esa persona o contactos de esa persona.
Talos cita como ejemplo un correo electrónico no deseado de Emotet que se envió a una persona que trabajaba para el senador estadounidense Cory Booker, después de infectar previamente a alguien en booker.senate.gov. No se indica si la última persona también fue infectada a través de otra persona de contacto.
“Uno de los aspectos más astutos de la propagación de Emotet es la forma en que usan la ingeniería social de las relaciones personales / profesionales para facilitar una mayor infección de malware. Al recibir un mensaje de un amigo o colega de confianza, es bastante natural que los destinatarios piensen "pueden abrir este archivo adjunto de correo electrónico de manera segura porque es en respuesta a un mensaje que envié, o de alguien que conozco", escribió el autor de la publicación del blog. Jason Schultz, un líder técnico con Talos. “Cualquier persona u organización que haya enviado un correo electrónico a una víctima de Emotet podría ser blanco de los mensajes de propagación de Emotet. Cuanta más interacción tenga con la víctima, más probabilidades tendrá de recibir correos electrónicos maliciosos de Emotet. Como un ataque sinuoso de un pozo de agua, así es como Emotet cruza los límites de la organización con el potencial de afectar a industrias enteras o incluso a países”.
Fuente: SC Magazine
0 Comentarios