Seguridad
El grupo de ciberdelincuencia TA542 está distribuyendo de nuevo correos electrónicos con malware Emotet tras 4 meses ausente del panorama de amenazas, según un análisis de Proofpoint, empresa líder de ciberseguridad y cumplimiento normativo. Y es que España es uno de los objetivos de este tipo de ataques, que no únicamente se lanzan en función de la ubicación de los destinatarios. En concreto, se caracterizan por el uso del idioma local en los mensajes. Además, muchas de las tácticas que emplea continúan siendo las mismas.
Concretamente, las campañas de TA542 detectadas a principios del pasado mes de noviembre se encuentran ya entre las de mayor volumen de emails, de los cuales Proofpoint
acostumbra a bloquear cientos de miles cada día.
Mejoras en la actividad delictiva
En términos generales, la actividad del grupo TA542 sigue siendo similar a la registrada anteriormente, pero con ciertas mejoras:
- nuevos señuelos en forma de archivos adjuntos de Excel.
- modificaciones en el binario de Emotet.
- una versión más ligera del loader IcedID.
Ataques sistemáticos de TA542
Además de España, Proofpoint ha observado ataques de carácter sistemático de TA542 en países como Estados Unidos, Reino Unido, Japón o Alemania, aunque la lista podría ampliarse. Los asuntos, los nombres de los archivos y también el cuerpo de texto de cada correo electrónico se encuentran escritos en el idioma específico de las víctimas potenciales.
Envíos desde Excel o un archivo comprimido
Además, el contenido malicioso enviado como un archivo Excel o un archivo comprimido, protegido a su vez por una contraseña con un Excel en su interior, dispone de macros que liberan la carga de Emotet. Como principal novedad, se efectúan instrucciones para que las víctimas copien el archivo Excel en unas plantillas de Microsoft Office, es decir, una ubicación de confianza para los usuarios, ejecutando de forma inmediata las macros sin necesidad de más interacción.
Según Proofpoint, queda todavía por ver la eficacia de este tipo de técnica que, si bien no necesita de ningún clic adicional por parte del usuario, necesita mover el archivo, confirmar la acción y disponer de permisos de administrador. De todos modos, este regreso de TA542 podría ser especialmente preocupante porque la entrega del loader IcedID como payload de seguimiento de infecciones de Emotet podría conducir a amenazas de ransomware. Proofpoint insiste en la importancia de conocer y también entender bien las amenazas actuales por parte de los usuarios.
El rol de Emotet
“Emotet es, en definitiva, una red de distribución de malware muy potente que lleva años existiendo. Lo seguimos muy de cerca porque su enorme persistencia, su volumen de amenazas y sus tácticas innovadoras son muy interesantes”, declara Sherrod DeGrippo, Vicepresidenta de investigación y detección de amenazas de Proofpoint.
Mayoristas Recomendados
Hardware
Software
Seguridad
Sistemas
Gaming
Impresión
Educación
Telecomunicaciones
