El malware Emotet, considerado una de las amenazas más destructivas, continúa evolucionando y creciendo. Los investigadores de Cisco Talos han observado un aumento en la actividad de Emotet dirigida a dominios militares de EE. UU. y dominios pertenecientes a gobiernos estatales y federales. Según un nuevo informe , en los últimos meses Emotet comprometió con éxito las cuentas de una o más personas que trabajan para o con el gobierno de los EE. UU. Y envió correos electrónicos no deseados que contienen el malware a sus contactos. El resultado fue un rápido aumento en el volumen de mensajes que contienen Emotet dirigidos a dominios de alto nivel .mil y .gov en diciembre de 2019, y esta tendencia ha continuado hasta enero de 2020, dicen los investigadores.
Emotet apareció por primera vez en 2014 como un troyano bancario, pero a lo largo de los años se ha convertido en una de las herramientas más sofisticadas y ampliamente utilizadas para distribuir malware. Emotet utiliza correos electrónicos no deseados como método principal de entrega. El malware generalmente se esconde en documentos PDF, enlaces maliciosos o documentos de Word no autorizados. El malware roba el correo electrónico de las personas, luego se hace pasar por las víctimas y envía copias de sí mismo en respuesta. Los correos electrónicos maliciosos se entregan a través de una red de cuentas SMTP robadas.
“Otro problema que a menudo se pasa por alto es el problema de exfiltración presentado por Emotet. Los usuarios a los que les roban su correo electrónico y lo envían a la infraestructura de comando y control (C2) de Emotet pueden haber perdido el control sobre los datos confidenciales y las comunicaciones. Por ahora, Emotet se contenta con utilizar estos datos para mejorar su enfoque de ingeniería social, pero podrían estar leyendo / analizando fácilmente el contenido de estos mensajes y actuando / intercambiando sobre la información contenida en ellos ”, continuaron los investigadores.
Mientras tanto, los investigadores de Cofence observaron otra campaña de phishing de Emotet, esta vez dirigida al personal de las Naciones Unidas dirigido a aproximadamente 600 direcciones de correo electrónico únicas. Los correos electrónicos de phishing pretendían ser de la Misión Permanente de Noruega ante las Naciones Unidas en Nueva York. El mensaje afirmaba que los representantes de Noruega ante las Naciones Unidas en Nueva York descubrieron un problema con un acuerdo firmado adjunto, y el destinatario necesitaba revisar el documento para saber exactamente cuál era el problema.
Una vez que la víctima abrió el documento y habilitó su contenido, se ejecutaron las macros maliciosas. Descargó e instaló el malware Emotet en la computadora, que, a su vez, instaló el troyano Trickbot.
https://blog.talosintelligence.com/2020/01/stolen-emails-reflect-emotets-organic.html
%2014.04.55.png)
