Emotet se salta las funciones de seguridad de las macros VBA de Microsoft

Según Proofpoint, Emotet está abandonando los documentos maliciosos de Office y se está centrando en la distribución de URLs maliciosas a través de OneDrive.

El grupo de ciberdelincuentes que opera la resurgente red de bots Emotet ha sido observado probando nuevas técnicas de ataque tras la entrada en vigor de las nuevas normas de Microsoft sobre documentos con macros. Atribuido al Actor de Amenazas 542 (TA542), los investigadores de Proofpoint dijeron que Emotet se había tomado un “descanso de primavera” con bajos niveles de actividad coincidiendo con los cambios observados en la metodología de ataque.

Emotet solía aprovechar las reglas débiles de los documentos de Microsoft Office habilitados para macros para enviar la carga útil del malware a las víctimas, pero ahora que Microsoft ha hecho más seguro el manejo por defecto de los documentos habilitados para macros, sus vectores de ataque parecen estar cambiando.

En un informe publicado el 26 de abril, Proofpoint afirma que ha observado que Emotet se está alejando de los documentos maliciosos de Office y que, en su lugar, está optando por incluir las URL de OneDrive en las campañas de correo electrónico de spam que conducen a la descarga de un archivo zip que contiene archivos XLL que liberan el malware Emotet.

Emotet es una prolífica red de bots y un troyano que se dirige a las plataformas Windows para distribuir malware secundario. Se consideraba una de las amenazas cibercriminales más prolíficas antes de su desarticulación por parte de los organismos policiales mundiales en enero de 2021.

En noviembre de 2021, 10 meses después de su desaparición del panorama de las amenazas, Proofpoint observó un resurgimiento de esta notoria botnet y, desde entonces, el grupo asociado a Emotet, TA542, ha atacado a miles de clientes con decenas de miles de mensajes en múltiples regiones geográficas. En algunos casos, el volumen de mensajes alcanza más de un millón por campaña.

Sin embargo, la nueva actividad observada por Proofpoint se aleja de sus comportamientos típicos e indica que el grupo está probando nuevas técnicas de ataque a pequeña escala antes de adoptarlas para campañas de mayor volumen. Alternativamente, estos nuevos TTPs pueden indicar que TA542 puede estar ahora involucrado en ataques más selectivos y limitados en paralelo a las típicas campañas de correo electrónico a escala masiva.

Proofpoint detectó un bajo volumen de correos electrónicos que distribuían Emotet. Los correos electrónicos del remitente parecían estar comprometidos. Los correos electrónicos no fueron enviados por el módulo de spam de Emotet. Los asuntos eran sencillos y contenían una palabra como “Salario”. Los cuerpos de los correos electrónicos contenían únicamente URLs de OneDrive y ningún otro contenido. Las URL de OneDrive alojaban archivos zip que contenían archivos de complemento de Microsoft Excel (XLL).

Los archivos zip y los archivos XLL utilizaban los mismos señuelos que los asuntos de los correos electrónicos, como “Salary_new.zip”. Este archivo concreto contenía cuatro copias del mismo archivo XLL con nombres como “Salary_and_bonuses-04.01.2022.xll”. Los archivos XLL, cuando se ejecutan, dejan caer y ejecutan Emotet aprovechando la red de bots Epoch 4.

Además, cabe destacar que TA542 está interesado en nuevas técnicas que no dependan de documentos habilitados para macros, ya que Microsoft está dificultando cada vez más que los actores de amenazas utilicen macros como vector de infección. En febrero, Microsoft anunció que en abril comenzaría a bloquear por defecto las macros de Visual Basic para Aplicaciones (VBA) obtenidas de Internet. Esto sigue al anuncio de Microsoft de deshabilitar las macros XL4 en 2021. Por lo general, los actores de la amenaza, incluido el TA542, que utilizan archivos adjuntos con macros, se basan en la ingeniería social para convencer al destinatario de que el contenido es de confianza, y es necesario habilitar las macros para verlo.

Más información sobre Emotet en Diario TI


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022