España es uno de los objetivos de estos ataques, que no solo se lanzan en función de la ubicación de los destinatarios, sino que además se caracterizan por el uso del idioma local en los mensajes.
El grupo de ciberdelincuencia TA542 vuelve a distribuir correos electrónicos con malware Emotet tras cuatro meses ausente del panorama de amenazas, según un análisis de la empresa líder de ciberseguridad y cumplimiento normativo Proofpoint. España es uno de los objetivos de estos ataques, que no solo se lanzan en función de la ubicación de los destinatarios, sino que además se caracterizan por el uso del idioma local en los mensajes. Pese a que muchas de las tácticas que emplea siguen siendo las mismas, las campañas de TA542 detectadas a principios de noviembre se encuentran ya entre las de mayor volumen de emails, de los cuales Proofpoint bloquea cientos de miles al día.
En general, la actividad de TA542 sigue siendo similar a la registrada anteriormente, pero con algunas mejoras: nuevos señuelos en forma de archivos adjuntos de Excel, cambios en el binario de Emotet y una versión más ligera del loader IcedID, entre otros cambios.
Además de España, Proofpoint ha observado ataques sistemáticos de TA542 en países como Estados Unidos, Reino Unido, Japón, Alemania, Italia, Francia, México y Brasil, aunque la lista podría incluir alguno más. Los asuntos, los nombres de los archivos y el cuerpo de texto de cada correo electrónico están escritos en el idioma específico de las potenciales víctimas.
El contenido malicioso enviado como Excel o archivo comprimido, protegido por una contraseña con un Excel en su interior, contiene macros que liberan la carga de Emotet. Como novedad, se dan instrucciones para que las víctimas copien el archivo Excel dentro de unas plantillas de Microsoft Office, una ubicación de confianza para los usuarios, ejecutando inmediatamente las macros sin necesidad de más interacción.
Según Proofpoint, queda por ver la eficacia de esta técnica que, si bien no necesita un clic adicional por parte del usuario, requiere mover el archivo, confirmar la acción y tener permisos de administrador. Aun así, este regreso de TA542 puede ser preocupante: la entrega del loader IcedID como payload de seguimiento de infecciones de Emotet podría conducir a amenazas de ransomware, como se ha visto en otros casos. La compañía de ciberseguridad insiste en la importancia de conocer y entender bien las amenazas actuales por parte de los usuarios, mediante formación y concienciación sobre seguridad, para proteger el correo electrónico —el principal vector de ataque— y los datos, así como hacer que las personas sean más resilientes.
“Emotet es una red de distribución de malware increíblemente potente que lleva años existiendo. Lo seguimos muy de cerca debido a su enorme persistencia, volumen de amenazas y tácticas innovadoras”, declara Sherrod DeGrippo, vicepresidenta de investigación y detección de amenazas de Proofpoint. “Lo particularmente interesante de esta reaparición es que Emotet sigue operando, evolucionando y no muestra signos de interrumpir sus operaciones”.