imágenes falsas
Ampliamente considerada como una de las principales amenazas de Internet, la botnet Emotet ha regresado después de un paréntesis de meses y tiene algunos trucos nuevos.
La semana pasada, Emotet apareció p or primera vez
Un correo electrónico malicioso enviado el martes pasado, por ejemplo, adjuntó un documento de Word que tenía una gran cantidad de datos extraños agregados al final. Como resultado, el archivo tenía un tamaño de más de 500 MB, lo suficientemente grande como para evitar que algunos productos de seguridad pudieran escanear el contenido. Esta técnica, conocida como relleno binario o bombeo de archivos, funciona agregando ceros al final del documento. En caso de que alguien sea engañado para habilitar la macro, el archivo DLL de Windows malicioso que se entrega también se bombea, lo que hace que aumente rápidamente de 616 kB a 548,1 MB, según investigadores de la firma de seguridad Trend Micro. dijo el lunes
Otro truco de evasión detectado en el documento adjunto: extractos de la novela clásica de Herman Melville dick moby, que aparecen en una fuente blanca sobre una página blanca para que el texto no sea legible. Algunos productos de seguridad marcan automáticamente los archivos de Microsoft Office que contienen solo una macro y una imagen. El texto invisible está diseñado para evadir dicho software sin despertar la sospecha del objetivo.
instinto profundo
Cuando se abren, los documentos de Word presentan un gráfico que dice que no se puede acceder al contenido a menos que el usuario haga clic en el botón “habilitar contenido”. El año pasado, Microsoft comenzó a deshabilitar las macros descargadas de Internet de forma predeterminada.
Tendencia Micro
Al hacer clic en el botón “habilitar contenido”, se deshace ese valor predeterminado y permite que se ejecute la macro. La macro hace que Office descargue un archivo .zip de un sitio web legítimo que ha sido pirateado. Luego, Office descomprimirá el archivo comprimido y ejecutará la DLL de Emotet inflada que infecta el dispositivo.
Una vez que ha infectado el dispositivo de la víctima, el malware sustrae contraseñas y otros datos confidenciales y usa el dispositivo para enviar spam malicioso a otros usuarios. El malware también puede descargar malware adicional, como el ransomware Ryuk o el malware TrickBot. La cadena de infección se ve así:
Tendencia Micro
La atención al detalle que se ve en este último renacimiento es el comportamiento característico de Emotet. Durante años, la botnet ha copiado minuciosamente las conversaciones de correo electrónico recibidas de las máquinas infectadas y las ha integrado en el correo no deseado malicioso enviado a otras partes en el hilo. Al hacer un seguimiento de un correo electrónico de alguien con quien el objetivo se ha comunicado en el pasado, el mensaje de spam malicioso tiene más posibilidades de pasar desapercibido. Emotet también puede obtener acceso a redes Wi-Fi e infectar dispositivos conectados.
Con el regreso de Emotet, las personas deben estar atentas a los correos electrónicos maliciosos, incluso si parecen provenir de fuentes confiables, llamar al objetivo por su nombre e incluir correos electrónicos enviados y recibidos anteriormente. Rara vez hay una buena razón para habilitar macros en documentos enviados por correo electrónico. Las personas deben negarse a permitir que se ejecuten sin comunicarse primero con el remitente por teléfono, mensaje instantáneo u otro medio que no sea el correo electrónico.
Los países más afectados en la última ejecución de Emotet son Europa, Asia Pacífico y América Latina.