El notorio malware Emotet, en su volver después de una breve pausaahora se distribuye a través de archivos adjuntos de correo electrónico de Microsoft OneNote en un intento de eludir las restricciones de seguridad basadas en macros y los sistemas de compromiso.
Emotet, vinculado a un actor de amenazas rastreado como Gold Crestwood, Mummy Spider o TA542, sigue siendo una amenaza potente y resistente a pesar de los intentos de las fuerzas del orden por eliminarlo.
A derivado del Cridex gusano bancario – que era después reemplazado por Dridex casi al mismo tiempo que GameOver Zeus fue interrumpido en 2014: Emotet ha evolucionado en una «plataforma monetizada para que otros actores de amenazas ejecuten campañas maliciosas en un modelo de pago por instalación (PPI), lo que permite el robo de datos confidenciales y la extorsión de rescate».
Si bien las infecciones de Emotet han actuado como un conducto para entregar Cobalt Strike, IcedID, Qakbot, Quantum ransomware y TrickBot, su regreso a fines de 2021 fue facilitado por medio de TrickBot.
«Emotet es conocido por períodos prolongados de inactividad, que a menudo ocurren varias veces al año, donde la red de bots se mantiene estable pero no envía spam ni malware», dijo Secureworks. notas en su perfil del actor.
El malware cuentagotas se distribuye comúnmente a través de correos electrónicos no deseados que contienen archivos adjuntos maliciosos. Pero con Microsoft tomando medidas para bloquear macros en archivos de Office descargados, los archivos adjuntos de OneNote se han convertido en una vía alternativa atractiva.
«El archivo de OneNote es simple pero eficaz para los usuarios de ingeniería social con una notificación falsa que indica que el documento está protegido», Malwarebytes revelado en una nueva alerta. «Cuando se les indica que hagan doble clic en el botón Ver, las víctimas, sin darse cuenta, hacen doble clic en un archivo de script incrustado».
El archivo de script de Windows (WSF) está diseñado para recuperar y ejecutar la carga útil binaria de Emotet desde un servidor remoto. Hallazgos similares han sido repetidos por Cyble, IBM X-Fuerzay Palo Alto Networks Unidad 42.
Dicho esto, Emotet sigue utilizando documentos con trampas explosivas que contienen macros para entregar la carga útil maliciosa, empleando señuelos de ingeniería social para tentar a los usuarios a permitir que las macros activen la cadena de ataque.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Se ha observado que dichos documentos aprovechan una técnica llamada bomba de descompresión para ocultar un archivo muy grande (más de 550 MB) dentro de archivos adjuntos ZIP para pasar desapercibidos, según múltiples informes de Cyble, instinto profundo, Hornetseguridady Tendencia Micro.
Esto se logra por relleno de 00 bytes al final del documento para inflar artificialmente el tamaño del archivo a fin de superar las limitaciones impuestas por las soluciones antimalware.
El último desarrollo es una señal de la flexibilidad y agilidad de los operadores para cambiar los tipos de archivos adjuntos para la entrega inicial para evadir las firmas de detección. También se produce en medio de un aumento en actores de amenazas usando Documentos de OneNote para distribuir una amplia gama de malware como AsyncRAT, Icedid, RedLine Stealer, Qakbot y XWorm.
De acuerdo a Trellixla mayoría de las detecciones maliciosas de OneNote en 2023 se registraron en los EE. UU., Corea del Sur, Alemania, Arabia Saudita, Polonia, India, el Reino Unido, Italia, Japón y Croacia, con manufactura, alta tecnología, telecomunicaciones, finanzas, y la energía emergen como los principales sectores objetivo.