Estás leyendo la publicación: Los atacantes envían correos electrónicos de phishing del IRS para instalar el malware Emotett
En un descubrimiento, investigadores de seguridad de Malwarebytes y la unidad 42 de Palo Alto Networks encontró que el malware Emotet se dirigía a los usuarios con correos electrónicos de phishing que contenían archivos adjuntos de formularios de impuestos W-9 falsos.
Emotet es una infame infección de malware que se distribuye a través de correos electrónicos de phishing que anteriormente tenían documentos de Microsoft Word y Microsoft Excel con macros maliciosas que instalan el malware.
Sin embargo, como Microsoft ahora bloquea las macros de forma predeterminada en los documentos descargados de Microsoft Word, por lo que el malware Emotet pasó a Microsoft OneNote con scripts integrados para instalar el malware Emolett.
Los atacantes que operan Emotet generalmente utilizan campañas de phishing temáticas para coincidir con las vacaciones y las declaraciones de impuestos anuales, es decir, la temporada de impuestos de EE. UU. En cuanto a la campaña de phishing encontrada por Malwarebytes, los atacantes envían correos electrónicos con el asunto “Formulario de impuestos TRS W-9” haciéndose pasar por una autoridad del Servicio de Renovación Interna.
Leer: Malware común de Magic y Power Magic utilizado en ataques de vigilancia avanzada
Estos correos electrónicos de phishing tienen un archivo ZIP llamado W-9 form.zip que contiene un documento de Word malicioso. El documento se ha ampliado hasta 500 MB para que al software de seguridad le resulte difícil detectar si es malicioso.
A medida que se instala Emotet, el malware comienza a robar el correo electrónico de la víctima para sus futuros ataques en cadena de reproducción y luego envía correos electrónicos no deseados y, al final, instala otro malware que también brinda acceso inicial a otros actores de amenazas.
Dicho esto, dado que Microsoft ahora bloquea las macros de forma predeterminada, es menos probable que los usuarios sufran la molestia de habilitar las macros y quedar infectados por documentos de Word.
Ahora, en la actividad de phishing encontrada por el Palo Alto Unidad 42los atacantes evitan estas restricciones utilizando Microsoft OneNote Document con los archivos VBScript habilitados que instalan el malware
Después de eso, la actividad de phishing utiliza el correo electrónico de la cadena de reproducción, que se hace pasar por los socios comerciales que envían a las víctimas el formulario W-9.
El documento de OneNote adjunto hará creer que está protegido y solicitará al usuario que haga doble clic para ver el documento correctamente, aunque lo que está oculto en su interior es el botón Ver que tiene VBScripts que se ejecutarán en su lugar.]
Al abrir el archivo VBScript incrustado, Microsoft OneNote advierte al usuario que el archivo puede ser malicioso, pero desafortunadamente, como sabemos, muchos de los usuarios simplemente ignoran estas advertencias y permiten que los archivos se ejecuten. Una vez que se ejecutan los archivos, VBScript descargará Emotet DLL y lo ejecutará usando regsvr32.exe.
Después de eso, el malware se ejecuta silenciosamente en segundo plano, robando correos electrónicos y contactos y luego esperando a que se instale otra carga útil en el dispositivo.
Entonces, si recibe algún correo electrónico que dice tener el formulario W-9 o cualquier otro formulario de impuestos, simplemente escanee el documento primero con un software antivirus.
Además, estos formularios se envían como archivos adjuntos PDF, no como archivos adjuntos de Word, así que evite abrirlos y habilitar macros y, en su lugar, elimine los correos electrónicos.
Leer: La actualización de seguridad cibernética de Fortinet falla; Día cero explotado por actores de amenazas