Emotet, una de las botnets de propagación de Malware más poderosas, está activa nuevamente después de una ausencia de cuatro meses, según varios investigadores de seguridad que notaron un aumento en la actividad principalmente contra objetivos estadounidenses, británicos y alemanes a partir del lunes.

 

 

El Departamento de Seguridad Nacional de EE.UU. clasifica a Emotet como una de las botnets de malware más costosas y destructivas jamás vistas. El último caso conocido de un ataque de Emotet a gran escala se informó en India en mayo, cuando un grupo de 8.000 intrusiones de botnets se dirigió a varias empresas.

En agosto, los investigadores de la firma de seguridad Cofense y Talos observaron que los servidores de comando y control que estaban asociados con Emotet se habían activado, aunque la propia botnet permaneció inactiva. A partir del lunes, sin embargo, una investigación adicional de varios analistas mostró que la red de bots estaba propagando código malicioso nuevamente, poniendo fin a una pausa desde mayo.

En una serie de twits, los investigadores de la firma de seguridad SpamHaus notaron que vieron una campaña de phishing asociada con Emotet el lunes, con la actividad dirigida a aquellos que hablan inglés, alemán, polaco o italiano.

Jason Meurer, ingeniero de Cofense, dice que cualquiera que esté detrás de la botnet Emotet comenzó a prepararse para este ataque a fines de agosto, con ajustes de código adicionales que comenzaron alrededor del 9 de septiembre. «El paso final fue comenzar a enviar los correos electrónicos armados», dijo Meurer a Information Security Media Group. «Esto ocurrió el 16 de septiembre y se originó a partir de bots en Alemania utilizando la táctica de la cadena de respuesta al principio. Rápidamente se extendió a otras regiones y comenzó a enviar correos electrónicos genéricos y de cadena de respuesta a gran escala».

Meurer señaló que aunque los EE.UU., Reino Unido y Alemania eran los principales objetivos de los correos electrónicos no deseados y de phishing, su empresa descubrió que muchos otros dominios en todo el mundo estaban siendo atacados a partir del lunes.

Según los investigadores, en el último ataque lanzado el lunes, la botnet está utilizando un método de cadena de respuesta para engañar a los usuarios. En este método, un correo electrónico de phishing parece una respuesta a una conversación anterior con un documento de Word adjunto, lo que significa que los usuarios pueden ser engañados fácilmente para descargar el documento o el enlace.

El documento enviado por los atacantes tiene un mensaje que solicita al usuario que acepte un acuerdo de licencia de Microsoft con un logotipo de Microsoft de aspecto genuino, según Cofense.
Una vez que se descarga el malware, Emotet usa el sistema infectado para enviar correos electrónicos de phishing adicionales y correo no deseado en un esfuerzo por hacer crecer la botnet, dicen los investigadores. Sin embargo, el objetivo final de la última campaña aún no está claro, señalan los investigadores.

«Comenzando a principios de este año, comenzamos a ver correos electrónicos que parecían tener contenido raspado al final del correo electrónico. En el caso de estos correos electrónicos, parece que el remitente y el receptor estuvieron en contacto anteriormente y que este correo electrónico es un seguimiento. Al hacer esto, los actores de Emotet pueden crear correos electrónicos tipo spear phishing que son relevantes y creíbles para el usuario final, lo que aumenta las probabilidades de que hagan clic».

Fuente: BankInfosecurity

Compartir