El temido troyano Emotet está de regreso después de una pausa de cinco meses, lo que da inicio a una furiosa nueva campaña de distribución de malware, advierten los investigadores.
Investigadores de Cryptolaemus, un grupo que rastrea a Emotet, observaron que el actor de amenazas cobraba vida repentinamente y enviaba correos electrónicos no deseados en todo el mundo con correos electrónicos de phishing, en la madrugada del 2 de noviembre.
“Parece que Iván necesita dinero de nuevo, así que volvió al trabajo. Esté atento a los archivos XLS adjuntos directos y XLS comprimidos y protegidos con contraseña”, advirtió el grupo en un Hilo de Twitter (se abre en una pestaña nueva).
Archivos de Office armados
Como de costumbre, la campaña gira en torno a documentos de Office armados, en este caso particular, archivos de Excel que contienen macros maliciosas.
El actor de amenazas secuestra las cadenas de correo electrónico existentes y utiliza la función de respuesta para distribuir el documento. Sin embargo, hay algunos cambios notables en el funcionamiento del truco, ya que Microsoft ha deshabilitado recientemente las macros de forma predeterminada y requiere que los administradores permitan específicamente que se ejecute la función.
Además, Windows ahora agrega el indicador Mark-of-the-Web (MoTW) a todos los archivos descargados de Internet. Cuando se abren, los archivos marcados por MoTW mostrarán un mensaje que dice que se descargaron desde una ubicación no segura y que solo se pueden abrir en Vista protegida, para proteger a los usuarios de ejecutar accidentalmente una macro maliciosa.
Eso ha llevado a los delincuentes a agregar un mensaje específico al archivo, imitando la advertencia de seguridad de Excel (la barra horizontal amarilla sobre el contenido) y diciendo que, para ejecutar el archivo, debe colocarse en la carpeta Plantillas de Office.
Todos los archivos que se ejecutan desde la carpeta Plantillas ejecutan macros automáticamente. De hecho, no es tan fácil agregar archivos a esa carpeta específica, ya que Windows solicita permiso de administrador, pero es probable que muchas víctimas ignoren estas señales de alerta obvias.
Hasta ahora, Emotet está inactivo en puntos finales comprometidos (se abre en una pestaña nueva), por lo que los investigadores no pueden determinar para qué tipo de campaña se está utilizando. En el pasado, Emotet se usaba para lanzar balizas Cobalt Strike, malware TrickBot y otros.
Vía: BleepingComputer (se abre en una pestaña nueva)