{"id":680814,"date":"2023-03-20T08:34:32","date_gmt":"2023-03-20T08:34:32","guid":{"rendered":"https:\/\/teknomers.com\/es\/emotet-vuelve-a-surgir-evade-la-seguridad-de-las-macros-a-traves-de-los-archivos-adjuntos-de-onenote\/"},"modified":"2023-03-20T08:34:33","modified_gmt":"2023-03-20T08:34:33","slug":"emotet-vuelve-a-surgir-evade-la-seguridad-de-las-macros-a-traves-de-los-archivos-adjuntos-de-onenote","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/emotet-vuelve-a-surgir-evade-la-seguridad-de-las-macros-a-traves-de-los-archivos-adjuntos-de-onenote\/","title":{"rendered":"Emotet vuelve a surgir: evade la seguridad de las macros a trav\u00e9s de los archivos adjuntos de OneNote"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>20 de marzo de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Seguridad de punto final \/ Seguridad de correo electr\u00f3nico<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

El notorio malware Emotet, en su volver despu\u00e9s de una breve pausa<\/a>ahora se distribuye a trav\u00e9s de archivos adjuntos de correo electr\u00f3nico de Microsoft OneNote en un intento de eludir las restricciones de seguridad basadas en macros y los sistemas de compromiso.<\/p>\n

Emotet, vinculado a un actor de amenazas rastreado como Gold Crestwood, Mummy Spider o TA542, sigue siendo una amenaza potente y resistente a pesar de los intentos de las fuerzas del orden por eliminarlo.<\/p>\n

A derivado<\/a> del Cridex<\/a> gusano bancario<\/a> – que era despu\u00e9s<\/a> reemplazado<\/a> por Dridex casi al mismo tiempo que GameOver Zeus fue interrumpido en 2014: Emotet ha evolucionado<\/a> en una “plataforma monetizada para que otros actores de amenazas ejecuten campa\u00f1as maliciosas en un modelo de pago por instalaci\u00f3n (PPI), lo que permite el robo de datos confidenciales y la extorsi\u00f3n de rescate”.<\/p>\n

Si bien las infecciones de Emotet han actuado como un conducto<\/a> para entregar Cobalt Strike, IcedID, Qakbot, Quantum ransomware y TrickBot, su regreso a fines de 2021 fue facilitado por medio de TrickBot.<\/p>\n

“Emotet es conocido por per\u00edodos prolongados de inactividad, que a menudo ocurren varias veces al a\u00f1o, donde la red de bots se mantiene estable pero no env\u00eda spam ni malware”, dijo Secureworks. notas<\/a> en su perfil del actor.<\/p>\n

\"Adjuntos<\/div>\n

El malware cuentagotas se distribuye com\u00fanmente a trav\u00e9s de correos electr\u00f3nicos no deseados que contienen archivos adjuntos maliciosos. Pero con Microsoft tomando medidas para bloquear macros en archivos de Office descargados, los archivos adjuntos de OneNote se han convertido en una v\u00eda alternativa atractiva.<\/p>\n

“El archivo de OneNote es simple pero eficaz para los usuarios de ingenier\u00eda social con una notificaci\u00f3n falsa que indica que el documento est\u00e1 protegido”, Malwarebytes revelado<\/a> en una nueva alerta. “Cuando se les indica que hagan doble clic en el bot\u00f3n Ver, las v\u00edctimas, sin darse cuenta, hacen doble clic en un archivo de script incrustado”.<\/p>\n

\"Adjuntos<\/div>\n

El archivo de script de Windows (WSF) est\u00e1 dise\u00f1ado para recuperar y ejecutar la carga \u00fatil binaria de Emotet desde un servidor remoto. Hallazgos similares han sido repetidos por Cyble<\/a>, IBM X-Fuerza<\/a>y Palo Alto Networks Unidad 42<\/a>.<\/p>\n

Dicho esto, Emotet sigue utilizando documentos con trampas explosivas que contienen macros para entregar la carga \u00fatil maliciosa, empleando se\u00f1uelos de ingenier\u00eda social para tentar a los usuarios a permitir que las macros activen la cadena de ataque.<\/p>\n

SEMINARIO WEB<\/span><\/p>\n

Descubra los peligros ocultos de las aplicaciones SaaS de terceros<\/p>\n

\u00bfConoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? \u00danase a nuestro seminario web para conocer los tipos de permisos que se otorgan y c\u00f3mo minimizar el riesgo.<\/p>\n

RESERVA TU ASIENTO<\/a><\/div>\n

Se ha observado que dichos documentos aprovechan una t\u00e9cnica llamada bomba de descompresi\u00f3n para ocultar un archivo muy grande (m\u00e1s de 550 MB) dentro de archivos adjuntos ZIP para pasar desapercibidos, seg\u00fan m\u00faltiples informes de Cyble<\/a>, instinto profundo<\/a>, Hornetseguridad<\/a>y Tendencia Micro<\/a>.<\/p>\n

Esto se logra por relleno de 00 bytes<\/a> al final del documento para inflar artificialmente el tama\u00f1o del archivo a fin de superar las limitaciones impuestas por las soluciones antimalware.<\/p>\n

El \u00faltimo desarrollo es una se\u00f1al de la flexibilidad y agilidad de los operadores para cambiar los tipos de archivos adjuntos para la entrega inicial para evadir las firmas de detecci\u00f3n. Tambi\u00e9n se produce en medio de un aumento en actores de amenazas<\/a> usando Documentos de OneNote<\/a> para distribuir una amplia gama de malware como AsyncRAT, Icedid, RedLine Stealer, Qakbot y XWorm.<\/p>\n

De acuerdo a Trellix<\/a>la mayor\u00eda de las detecciones maliciosas de OneNote en 2023 se registraron en los EE. UU., Corea del Sur, Alemania, Arabia Saudita, Polonia, India, el Reino Unido, Italia, Jap\u00f3n y Croacia, con manufactura, alta tecnolog\u00eda, telecomunicaciones, finanzas, y la energ\u00eda emergen como los principales sectores objetivo.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n