Emotet lanza ataques con una técnica de un solo clic

La botnet Emotet, conocida por sus tácticas innovadoras, vuelve a estar en las noticias con una nueva técnica de ataque con un solo clic que aprovecha los archivos RAR de desbloqueo automático. Los investigadores de Trustwave identificaron un aumento en las amenazas empaquetadas en archivos ZIP protegidos con contraseña. Emotet es uno de los principales […]

La botnet Emotet, conocida por sus tácticas innovadoras, vuelve a estar en las noticias con una nueva técnica de ataque con un solo clic que aprovecha los archivos RAR de desbloqueo automático.

Los investigadores de Trustwave identificaron un aumento en las amenazas empaquetadas en archivos ZIP protegidos con contraseña. Emotet es uno de los principales distribuidores de estos paquetes y entrega alrededor del 96% de estos maliciosos mediante un truco innovador.

En la última ola de ataques, los atacantes están utilizando señuelos de phishing de temas de facturas con archivos de almacenamiento protegidos con contraseña.

Estos archivos contienen un archivo autoextraíble anidado (SFX) que puede actuar como un conducto para iniciar el segundo. Estos archivos requieren solo un clic y no se necesita ingresar una contraseña para comprometer un objetivo.
Se observó que uno de esos archivos SFX usaba un icono de PDF o Excel para parecer legítimo y contenía componentes como un archivo por lotes, un archivo RARsfx e imágenes o un archivo PDF.

Además, estos archivos se utilizan para colocar CoinMiner y Quasar RAT en sistemas comprometidos.

CoinMiner es un minero de criptomonedas que puede duplicarse como un ladrón de credenciales. Utiliza el Instrumental de administración de Windows (WMI) para recopilar información de hardware y antivirus instalado en el sistema para evitar el sandboxing y dificultar el análisis.

La otra carga útil, Quasar RAT, es una RAT de código abierto basada en .NET con potentes capacidades. Utiliza el dominio del actor de amenazas y el dominio DNS dinámico gratuito para acceder a su servidor C2.

Los archivos protegidos con contraseña son difíciles de escanear en busca de su contenido y, por lo tanto, se presentan entre los usuarios finales. La adopción de esta táctica por parte de Emotet, es una clara señal de alerta para los usuarios finales y los profesionales de la seguridad. Esta nueva táctica de ataque permite además a los actores de amenazas realizar una multitud de ataques como crypto jacking, robo de datos, ransomware y otros.