Noticias

Emotet vuelve a la acción con activadores de aplicaciones falsas

diciembre 10, 2021
Investigadores descubrieron que el famoso malware Emotet, se propaga a través de paquetes maliciosos de Windows App Installer. Estos paquetes se hacen pasar por el software legítimo de Adobe PDF. Según los investigadores, los operadores de Emotet ahora están apuntando a los sistemas Windows mediante la instalación de paquetes maliciosos, utilizando una función incorporada llamada […]

Investigadores descubrieron que el famoso malware Emotet, se propaga a través de paquetes maliciosos de Windows App Installer. Estos paquetes se hacen pasar por el software legítimo de Adobe PDF.

Según los investigadores, los operadores de Emotet ahora están apuntando a los sistemas Windows mediante la instalación de paquetes maliciosos, utilizando una función incorporada llamada App Installer en Windows 10/11.

La campaña utiliza correos electrónicos robados en cadena de respuesta que parecen ser una respuesta a una conversación existente. Estas respuestas vienen con un PDF relacionado con la conversación por correo electrónico y le piden al destinatario que vea el archivo adjunto.
Si un usuario hace clic en el enlace, se le redirige a una página falsa de Google Drive que pide a los usuarios que hagan clic en el botón ‘Vista previa de PDF’, que apunta a una URL de ms-appinstaller alojada en Azure.

Cuando se hace clic, la URL conduce a un paquete de instalación de la aplicación. Cuando el usuario intenta abrir este archivo, el navegador le solicita que utilice el programa Instalador de aplicaciones de Windows para continuar.

Si los usuarios están de acuerdo, se les mostrará una ventana del Instalador de aplicaciones pidiéndoles que instalen un paquete malicioso llamado ‘Adobe PDF Component’.

El paquete malicioso parece legítimo porque tiene un ícono legítimo de Adobe PDF, un certificado válido, junto con detalles falsos del editor para engañar a los usuarios para que lo instalen.

Una vez que se hace clic en el botón de instalación, el instalador descarga / instala un paquete de appx alojado en Microsoft Azure. A continuación, el paquete appx instala una DLL en la carpeta% Temp% y la ejecuta con rundll32 [.] Exe.

Además, el proceso copia la DLL como un archivo y una carpeta con nombres aleatorios en% LocalAppData%.
Finalmente, se crea una ejecución automática en el registro para ejecutar automáticamente la DLL cuando un usuario inicia sesión en Windows.

activadoresaplicacionesemotetfalsos

Comparte este Artículo

Artículos relacionados

Noticias
Nueva campaña de phishing de Twitter se dirige a cuentas verificadas
 10 de diciembre de 2021

Se está ejecutando una nueva campaña de phishing dirigida a cuentas de Twitter verificadas con correos electrónicos no deseados. Estos correos electrónicos de suplantación de identidad pasaron por alto los filtros de correo no deseado de Gmail y se dirigieron a usuarios de Twitter verificados.
Noticias
Múltiples troyanos bancarios habitan Google Play infectando miles de dispositivos
 10 de diciembre de 2021

Se han descubierto cuatro troyanos bancarios Android que se alojaron en alrededor de 300.000 dispositivos entre agosto y noviembre. Estos malware se distribuyeron a través de Play Store.