El software malicioso Emotet está de vuelta en las campañas activas, los investigadores de seguridad advirtieron. Al parecer,, el malware se esconde en los documentos en los mensajes de spam que pretenden ser enviado desde las instituciones financieras, o se hacían pasar como saludos de Acción de Gracias para los empleados.
La última vez que escribió acerca de Emotet era hace un año, en noviembre 2017, cuando el troyano bancario fue actualizado para incluir un componente peligroso que causó serias preocupaciones entre la comunidad de seguridad – la extracción de datos, incluso a través de conexiones seguras.
Los archivos pueden ser enviados fácilmente utilizando los métodos de infección más populares. Los nuevos ataques denunciados una vez más demuestran que [wplinkpreview url =”https://sensorstechforum.com/emotet-trojan-affects-internal-networks/”]Emmott sigue siendo una de las cargas útiles más populares, y que sus operadores siempre están buscando nuevos métodos de infección.
Funcionalidad Emotet Nueva phishing
El software malicioso Emotet hizo activo al final de octubre de este año. Es decir, cuando se detectó un nuevo plugin que exfiltraron asuntos de correo electrónico y 16KB de los órganos de correo electrónico. Esta funcionalidad se utiliza actualmente para mejorar las plantillas de phishing.
La estafa de phishing de Acción de Gracias
investigadores Forcepoint detectado un correo electrónico cuidadosamente diseñado que incluía “algunas palabras de gracias alegre”. como se informó, este correo electrónico vio volúmenes superior 27,000 en el período entre 07.30 IS y 17:00 EST en un solo día. Esto es lo que dice el cuerpo del correo electrónico:
Hola,
En esta temporada de agradecimiento, estamos especialmente agradecidos, que han trabajado tan duro para construir y crear el éxito de nuestra empresa. Deseando usted y su familia un total de Acción de Gracias de bendiciones.
Tarjeta del día de Acción de Gracias por debajo.
El documento en el correo electrónico era en realidad un archivo XML que pretende ser un archivo .doc. Es de esperar tenía macros incrustadas que conducen a un descargador de PowerShell para la carga útil Emotet. Sin embargo, se debe notar que:
el documento en este caso no es el .doc o .docx habitual, sino más bien un archivo XML enmascarado como un .doc, y la macro en este ejemplo hace uso de la característica de Shapes, en última instancia conduce a la llamada de la función Shell usando un WindowStyle de vbHide. La sintaxis de la función Shell es Shell( nombre de ruta, [ WindowStyle ] ) donde ruta de acceso puede ser un programa o script.
La salida resultante es un comando muy ofuscado. cuando deobfucscated, el comando reveló el programa de descarga estándar PowerShell observado habitualmente en campañas Emotet, agregaron los investigadores.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: