Los atacantes envían correos electrónicos de phishing del IRS para instalar el malware Emotett

Estás leyendo la publicación: Los atacantes envían correos electrónicos de phishing del IRS para instalar el malware Emotett

En un descubrimiento, investigadores de seguridad de Malwarebytes y la unidad 42 de Palo Alto Networks encontró que el malware Emotet se dirigía a los usuarios con correos electrónicos de phishing que contenían archivos adjuntos de formularios de impuestos W-9 falsos.

Emotet es una infame infección de malware que se distribuye a través de correos electrónicos de phishing que anteriormente tenían documentos de Microsoft Word y Microsoft Excel con macros maliciosas que instalan el malware.

Sin embargo, como Microsoft ahora bloquea las macros de forma predeterminada en los documentos descargados de Microsoft Word, por lo que el malware Emotet pasó a Microsoft OneNote con scripts integrados para instalar el malware Emolett.

Los atacantes que operan Emotet generalmente utilizan campañas de phishing temáticas para coincidir con las vacaciones y las declaraciones de impuestos anuales, es decir, la temporada de impuestos de EE. UU. En cuanto a la campaña de phishing encontrada por Malwarebytes, los atacantes envían correos electrónicos con el asunto “Formulario de impuestos TRS W-9” haciéndose pasar por una autoridad del Servicio de Renovación Interna.

Leer: Malware común de Magic y Power Magic utilizado en ataques de vigilancia avanzada

Estos correos electrónicos de phishing tienen un archivo ZIP llamado W-9 form.zip que contiene un documento de Word malicioso. El documento se ha ampliado hasta 500 MB para que al software de seguridad le resulte difícil detectar si es malicioso.

Los atacantes envían correos electrónicos de phishing del IRS para instalar Emotett Malware 1El correo electrónico de malware se hace pasar por el IRS. (Malwarebytes)

A medida que se instala Emotet, el malware comienza a robar el correo electrónico de la víctima para sus futuros ataques en cadena de reproducción y luego envía correos electrónicos no deseados y, al final, instala otro malware que también brinda acceso inicial a otros actores de amenazas.

🔥 Recomendado:  Canva presenta una suite de herramientas de diseño impulsadas por IA en su Visual Worksuite

Dicho esto, dado que Microsoft ahora bloquea las macros de forma predeterminada, es menos probable que los usuarios sufran la molestia de habilitar las macros y quedar infectados por documentos de Word.

Los atacantes envían correos electrónicos de phishing del IRS para instalar Emotett Malware 2Los atacantes envían correos electrónicos de phishing del IRS para instalar Emotett Malware 2Documento de Word con gestos. (Computadora que suena)

Ahora, en la actividad de phishing encontrada por el Palo Alto Unidad 42los atacantes evitan estas restricciones utilizando Microsoft OneNote Document con los archivos VBScript habilitados que instalan el malware

Después de eso, la actividad de phishing utiliza el correo electrónico de la cadena de reproducción, que se hace pasar por los socios comerciales que envían a las víctimas el formulario W-9.

El documento de OneNote adjunto hará creer que está protegido y solicitará al usuario que haga doble clic para ver el documento correctamente, aunque lo que está oculto en su interior es el botón Ver que tiene VBScripts que se ejecutarán en su lugar.]

Los atacantes envían correos electrónicos de phishing del IRS para instalar Emotett Malware 3Los atacantes envían correos electrónicos de phishing del IRS para instalar Emotett Malware 3Correo electrónico en cadena de respuesta de Emotet con un documento malicioso de Microsoft OneNote.
(Palo Alto Unidad 42)

Al abrir el archivo VBScript incrustado, Microsoft OneNote advierte al usuario que el archivo puede ser malicioso, pero desafortunadamente, como sabemos, muchos de los usuarios simplemente ignoran estas advertencias y permiten que los archivos se ejecuten. Una vez que se ejecutan los archivos, VBScript descargará Emotet DLL y lo ejecutará usando regsvr32.exe.

Los atacantes envían correos electrónicos de phishing del IRS para instalar Emotett Malware 4Los atacantes envían correos electrónicos de phishing del IRS para instalar Emotett Malware 4Documento malicioso de OneNote que se hace pasar por el formulario W-9
(Computadora que suena)

Después de eso, el malware se ejecuta silenciosamente en segundo plano, robando correos electrónicos y contactos y luego esperando a que se instale otra carga útil en el dispositivo.

Entonces, si recibe algún correo electrónico que dice tener el formulario W-9 o cualquier otro formulario de impuestos, simplemente escanee el documento primero con un software antivirus.

Además, estos formularios se envían como archivos adjuntos PDF, no como archivos adjuntos de Word, así que evite abrirlos y habilitar macros y, en su lugar, elimine los correos electrónicos.

🔥 Recomendado:  Cómo reemplazar Powershell con símbolo del sistema en Windows 11

Leer: La actualización de seguridad cibernética de Fortinet falla; Día cero explotado por actores de amenazas