Emotet está de vuelta después de 10 meses, con nuevas técnicas para propagar malware.

La botnet parece utilizar un nuevo método de entrega para comprometer los sistemas Windows después de que Microsoft deshabilita las macros de VBA de forma predeterminada.

Los ataques de malware de Emotet están de vuelta después de un “spring break” de 10 meses. Ese nuevo enfoque incluye ataques de phishing más específicos, diferentes de las campañas anteriores.

Analistas vincularon esta actividad con el actor de amenazas conocido como TA542, que desde 2014 ha aprovechado el malware Emotet con gran éxito.

Emotet, una vez apodado “el malware más peligroso del mundo” está siendo aprovechado en su campaña más reciente para entregar ransomware. Los responsables de la distribución del malware han estado en la mira de las fuerzas del orden durante años. En enero de 2021, las autoridades de Canadá, Francia, Alemania, Lituania, los Países Bajos, Ucrania, el Reino Unido y los Estados Unidos trabajaron juntos para derribar una red de cientos de servidores de botnets que soportan Emotet, como parte de la “Operación LadyBird”.

Nueva fase de Emotet

Los atacantes detrás del malware han enviado millones de correos electrónicos de phishing diseñados para infectar los dispositivos con malware y pueden ser controlados por botnets.

Esta nueva prueba de correos electrónicos de phishing podría ser el resultado de las acciones de Microsoft para deshabilitar macros específicas asociadas con las aplicaciones de Office en febrero de 2022. En ese momento, Microsoft dijo que estaba cambiando los valores predeterminados para cinco aplicaciones de Office que ejecutan macros. Esto evita que los atacantes se dirijan a documentos con servicios de automatización para ejecutar el malware en los sistemas de las víctimas.

Las nuevas técnicas observadas en campañas recientes parecían probarse a menor escala, como una prueba de potencial para una campaña más grande.

Las nuevas campañas utilizan cuentas de correo electrónico comprometidas para enviar correos electrónicos de spam-phishing con un título llamativo de una palabra. Los términos comunes en los ataques de phishing incluyen “salario” se utilizan para alentar a los usuarios a hacer clic por curiosidad, las nuevas técnicas observadas en campañas recientes parecían probarse a menor escala, como una prueba de potencial para una campaña más grande.

Según los investigadores, el uso de URL de OneDrive y XLL hace que esta campaña sea distinta de las anteriores. Anteriormente, Emotet intentó propagarse a través de archivos adjuntos de Microsoft Office o URL de phishing. Esas cargas maliciosas incluían documentos de Word y Excel que contenían scripts o macros de Visual Basics para Aplicaciones (VBA).

Recomendación

Trend Micro Email Security, incluido dentro del portafolio de NOVA nos ayuda a detener ataques de phishing, ransomware y BEC. Con tecnología de seguridad XGen™, nuestra solución utiliza una combinación óptima de técnicas de amenazas intergeneracionales, como machine learning, análisis en sandbox, prevención de pérdida de datos (DLP) y otros métodos para detener todo tipo de amenazas de correo electrónico.

También cuenta con autenticación basada en el dominio, SPF, DKIM y DMARC son tres sistemas de autenticación de correo electrónico que protegen contra el falseamiento del correo electrónico.

El marco de directivas de remitente (SPF) es un estándar abierto para evitar la falsificación de direcciones de remitente. El SPF protege el remite, que se usa para entregar los mensajes de correo electrónico. Email Security le permite comprobar la autenticidad del remitente mediante la configuración de SPF.

DomainKeys Identified Mail (DKIM) es un sistema de validación de correo electrónico que detecta el falseamiento del correo electrónico validando la identidad del nombre de dominio asociada con un mensaje mediante la autenticación criptográfica. Asimismo, DKIM se usa para garantizar la integridad de los mensajes entrantes y para comprobar que un mensaje no se ha alterado durante la transferencia.

La autenticación de mensajes, informes y conformidad basada en dominios (DMARC) es un sistema de validación de correo electrónico que permite detectar y evitar el falseamiento de correo electrónico. Está diseñado para luchar contra determinadas técnicas que se utilizan en el phishing y el spam, como mensajes de correo electrónico con direcciones de remitentes falsos que parecen proceder de organizaciones legítimas. Permite autenticar mensajes de correo electrónico para dominios específicos, enviar información a los remitentes y ajustarse a una política publicada.

Una vez implementado Trend Micro Email Security los administradores de correo pueden configurar reglas para detectar y eliminar malware de los mensajes entrantes antes de que lleguen a la red corporativa Email Security puede poner en cuarentena el spam detectado y otros mensajes inadecuados. 

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta a fuente de la noticia aquí.

#NovaRecomienda