TA542 vuelve a distribuir el malware Emotet en correos electrónicos masivos con España entre sus objetivos

España es uno de los objetivos de estos ataques, que no solo se lanzan en función de la ubicación de los destinatarios, sino que además se caracterizan por el uso del idioma local en los mensajes.

El grupo de ciberdelincuencia TA542 vuelve a distribuir correos electrónicos con malware Emotet tras cuatro meses ausente del panorama de amenazas, según un análisis de la empresa líder de ciberseguridad y cumplimiento normativo Proofpoint. España es uno de los objetivos de estos ataques, que no solo se lanzan en función de la ubicación de los destinatarios, sino que además se caracterizan por el uso del idioma local en los mensajes. Pese a que muchas de las tácticas que emplea siguen siendo las mismas, las campañas de TA542 detectadas a principios de noviembre se encuentran ya entre las de mayor volumen de emails, de los cuales Proofpoint bloquea cientos de miles al día.

En general, la actividad de TA542 sigue siendo similar a la registrada anteriormente, pero con algunas mejoras: nuevos señuelos en forma de archivos adjuntos de Excel, cambios en el binario de Emotet y una versión más ligera del loader IcedID, entre otros cambios.

Además de España, Proofpoint ha observado ataques sistemáticos de TA542 en países como Estados Unidos, Reino Unido, Japón, Alemania, Italia, Francia, México y Brasil, aunque la lista podría incluir alguno más. Los asuntos, los nombres de los archivos y el cuerpo de texto de cada correo electrónico están escritos en el idioma específico de las potenciales víctimas.

El contenido malicioso enviado como Excel o archivo comprimido, protegido por una contraseña con un Excel en su interior, contiene macros que liberan la carga de Emotet. Como novedad, se dan instrucciones para que las víctimas copien el archivo Excel dentro de unas plantillas de Microsoft Office, una ubicación de confianza para los usuarios, ejecutando inmediatamente las macros sin necesidad de más interacción.

Según Proofpoint, queda por ver la eficacia de esta técnica que, si bien no necesita un clic adicional por parte del usuario, requiere mover el archivo, confirmar la acción y tener permisos de administrador. Aun así, este regreso de TA542 puede ser preocupante: la entrega del loader IcedID como payload de seguimiento de infecciones de Emotet podría conducir a amenazas de ransomware, como se ha visto en otros casos. La compañía de ciberseguridad insiste en la importancia de conocer y entender bien las amenazas actuales por parte de los usuarios, mediante formación y concienciación sobre seguridad, para proteger el correo electrónico —el principal vector de ataque— y los datos, así como hacer que las personas sean más resilientes.

“Emotet es una red de distribución de malware increíblemente potente que lleva años existiendo. Lo seguimos muy de cerca debido a su enorme persistencia, volumen de amenazas y tácticas innovadoras”, declara Sherrod DeGrippo, vicepresidenta de investigación y detección de amenazas de Proofpoint. “Lo particularmente interesante de esta reaparición es que Emotet sigue operando, evolucionando y no muestra signos de interrumpir sus operaciones”.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio