 |
| CIO Mexico |
Después de un corto período de poca actividad durante las vacaciones, los operadores de Emotet han vuelto a distribuir mediante campañas de malspam, en las cuales se detectó una nueva versión de Emotet con nuevas funciones.
El mensaje incita a los usuarios objetivo que hablan diferentes idiomas, lo que los incita a abrir un documento adjunto con código que atrae e instala el malware.
Algunos de los malspam contienen enlaces directos al malware que se pega directamente en el cuerpo del correo electrónico como se muestra a continuación.
También con el propósito de evadir los filtros de spam, Emotet tiene la capacidad de cambiar la línea de asunto. La táctica fue observada en campañas pasadas.
Otro cambio es el uso de redirecciones HTTP 301. Sin embargo, esta acción sigue siendo un misterio para los investigadores de seguridad, que dicen que la redirección apunta a la misma URL.
La única diferencia entre las dos solicitudes de descarga es que la primera tiene un mensaje de mantener vivo en el encabezado, mientras que la segunda solicitud viene sin él, dicen los investigadores.
La rutina para introducir Emotet en el sistema comienza cuando la víctima ejecuta el documento falso; El código en la macro incrustada luego descarga e instala el malware en el sistema.
Esto se hace invocando primero PowerShell, que se pone en contacto con el centro de distribución de Emotet para recuperar el payload. Después de la descarga, la variedad de malware se implementa en la computadora de la víctima.
Los investigadores de seguridad dicen que las características incluidas constantemente en el malware mantendrán a Emotet en la cima del paisaje de crimeware, ya que este es capaz de tener múltiples capacidades como la de Troyano Bancario, keyloger, colector de información, de correos electrónicos como de ransomware.
