Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Vuelve Emotet, el troyano bancario, ahora mediante documento Word de 500MB


Tras un periodo que ha durado más de tres meses desde que el malware Emotet cesara prácticamente por completo su actividad a finales de noviembre de 2022, era cuestión de tiempo que volviera. El momento ha llegado con la detección de varias campañas de spam con adjuntos maliciosos en forma de documentos ofimáticos que vuelve a buscar nuevas víctimas, especialmente entre los empleados de empresas de todos los tamaños.


Emotet, una de las principales amenazas para las empresas españolas y de todo el mundo según compañías como Check Point, ha registrado actividad con el envío de correos electrónicos maliciosos tras tres meses en pausa.

Descubierto en 2014, este troyano bancario ha permitido el acceso a los sistemas informáticos a cibercriminales de alto nivel, que han realizado actividades ilícitas, como el robo de datos o la extorsión a través de ransomware.

Se trata de un malware distribuido a través de correos electrónicos con documentos de servicios como Microsoft Word y Excel, entre otros. Una vez abiertos, instala la carga maliciosa en los dispositivos infectados y espera las órdenes de un servidor, que lo controla en remoto.

A pesar de que Emotet aminoró su actividad gradualmente tras una operación de envío de spam en noviembre de 2022, la empresa de ciberseguridad Cofense ha advertido una nueva campaña de este troyano.



En concreto, Emotet ha aparecido en cadenas de correo electrónico que añaden archivos .zip, que contienen documentos adjuntos como informes de finanzas y facturas y que no cuentan con la protección de contraseñas o credenciales para su acceso.

No obstante, estos documentos maliciosos integran una notificación de Office 365 que señala que están protegidos y, una vez abiertos, solicitan a los usuarios 'Habilitar el contenido', lo que descarga automáticamente el troyano.



Este software malicioso, que se ejecuta en segundo plano, queda a la espera de comandos por parte del servidor, que puede seguir instalando otras cargas útiles en el dispositivo infectado.



Tácticas similares pero con algunos cambios

Desde hace tiempo, las campañas de Emotet se caracterizan por utilizar correos electrónicos con asuntos relacionados con facturas o presupuestos y que adjuntan ficheros ofimáticos de Microsoft Office modificados. Este tipo de campañas van especialmente dirigidas a los departamentos de administración y comercial de las empresas, acostumbrados a recibir correos similares todos los días y que pueden ser mas propensos a abrir y ejecutar los ficheros maliciosos.

En esta nueva campaña se ha detectado como los delincuentes siguen usando esta técnica, adjuntando ficheros comprimidos en formato ZIP y que se hacen pasar por supuestas facturas.

Sin embargo, para esta nueva campaña los delincuentes han usado una técnica utilizada por otros malware como el troyano bancario Grandoreiro que consiste en inflar el tamaño del archivo una vez descomprimido para así tratar de evitar la detección estática por parte de los antivirus cuando el documento se guarda en el disco. En la siguiente imagen vemos como de un fichero de unos pocos Kilobytes se pasa a más de 550 Megabytes cuando se procede a descomprimirlo.


El fichero resultante es un documento de MS Word que no pocos usuarios se van a ver tentados de abrir para comprobar si realmente hay una factura en su interior. No obstante, lo que se van a encontrar en su interior es un aviso indicando que el documento se encuentra protegido y que es necesario habilitar la opción habilitar el contenido para poder mostrarlo.

Fuentes:

https://blogs.protegerse.com/2023/03/08/tras-varios-meses-de-inactividad-el-malware-emotet-regresa-con-una-nueva-campana-de-spam/

https://www.20minutos.es/tecnologia/ciberseguridad/vuelve-emotet-el-troyano-bancario-que-se-cuela-en-tu-ordenador-mediante-documentos-de-word-o-excel-5108026/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.