El actor de amenazas detrás de la prolífica red de bots Emotet está probando nuevos métodos de ataque a pequeña escala antes de cooptarlos en sus campañas de malspam de mayor volumen, posiblemente en respuesta a la decisión de Microsoft de deshabilitar las macros de Visual Basic para aplicaciones (VBA) de forma predeterminada en todos sus productos. .
Llamando a la nueva actividad una «desviación» del comportamiento típico del grupo, ProofPoint alternativamente planteó la posibilidad de que el último conjunto de correos electrónicos de phishing que distribuyen el malware muestre que los operadores ahora están «involucrados en ataques más selectivos y limitados en paralelo a la típica escala masiva campañas de correo electrónico».
Emotet, obra de un grupo de ciberdelincuencia rastreado como TA542 (también conocido como Mummy Spider o Gold Crestwood ), protagonizó una especie de renacimiento a fines del año pasado después de una pausa de 10 meses luego de una operación coordinada de aplicación de la ley para acabar con su infraestructura de ataque.
Desde entonces, las campañas de Emotet se han dirigido a miles de clientes con decenas de miles de mensajes en varias regiones geográficas, con un volumen de mensajes que supera el millón por campaña en casos seleccionados.
La nueva campaña de correo electrónico de «bajo volumen» analizada por la empresa de seguridad empresarial involucró el uso de señuelos con temas de salarios y URL de OneDrive que alojan archivos ZIP que contienen archivos de complemento de Microsoft Excel (XLL), que, cuando se ejecutan, sueltan y ejecutan el Emotet. carga útil.
Se dice que el nuevo conjunto de ataques de ingeniería social tuvo lugar entre el 4 y el 19 de abril de 2022, cuando se suspendieron otras campañas generalizadas de Emotet.
La ausencia de archivos adjuntos de documentos de Microsoft Excel o Word habilitados para macros es un cambio significativo con respecto a los ataques de Emotet observados anteriormente, lo que sugiere que el actor de amenazas se está alejando de la técnica como una forma de sortear los planes de Microsoft de bloquear las macros de VBA de forma predeterminada a partir de abril de 2022. .
El desarrollo también se produce cuando los autores del malware solucionaron la semana pasada un problema que impedía que las víctimas potenciales se vieran comprometidas al abrir los archivos adjuntos de correo electrónico armados.
«Después de meses de actividad constante, Emotet está cambiando las cosas», dijo Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint.
«Es probable que el actor de amenazas esté probando nuevos comportamientos a pequeña escala antes de entregarlos a las víctimas de manera más amplia, o distribuirlos a través de nuevos TTP junto con sus campañas de gran volumen existentes. Las organizaciones deben conocer las nuevas técnicas y asegurarse de que están implementando defensas en consecuencia».
