Phishing Emotet vuelve con el objetivo de robar información bancaria

Investigadores detectaron una nueva aparición de Emotet, se descubrieron más de 800,000 correos electrónicos maliciosos que intentaron enviar el malware a los dispositivos de las víctimas y aumentar el tamaño de la red de bots, según la firma de seguridad Proofpoint. En la mayoría de los casos, los correos electrónicos contenían archivos adjuntos maliciosos de […]

Investigadores detectaron una nueva aparición de Emotet, se descubrieron más de 800,000 correos electrónicos maliciosos que intentaron enviar el malware a los dispositivos de las víctimas y aumentar el tamaño de la red de bots, según la firma de seguridad Proofpoint.

En la mayoría de los casos, los correos electrónicos contenían archivos adjuntos maliciosos de Microsoft Word o enlaces URL que habilitan macros que ayudan a instalar malware.

La campaña de malspam que está difundiendo la botnet Emotet se ha visto en los EE. UU., Reino Unido, Canadá, Austria, Alemania, Brasil, Italia y España, dice Sherrod DeGrippo, director senior de investigación y detección de amenazas en Proofpoint.

“Al igual que en campañas anteriores de Emotet, la carga útil se entrega a través de un archivo adjunto malicioso, una URL en el cuerpo del correo electrónico o un archivo adjunto con un enlace a la descarga maliciosa”, dice DeGrippo a Information Security Media Group. “Los señuelos de correo electrónico son cortos y, a menudo, están en el idioma del destinatario, aunque de lo contrario no están personalizados”.

Emotet y Qbot

Si bien los investigadores de seguridad y la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. Consideran que Emotet es una de las cepas de malware más peligrosas actualmente en uso, una amenaza aún mayor de la botnet es su capacidad para entregar otro código malicioso, dicen los investigadores de seguridad.

Si bien Emotet se ha asociado previamente con malware como TrickBot y varias cepas de ransomware, esta última campaña parece diseñada para entregar un troyano bancario conocido como Qbot o Qakbot, según Cryptolaemus, un grupo de investigadores de seguridad que rastrean e intentan interrumpir la botnet.

Qbot, que ha estado activo desde 2008, está diseñado principalmente para robar los datos y las credenciales de los clientes bancarios. En junio, los investigadores de F5 Labs descubrieron una campaña de Qbot dirigida a clientes de varias instituciones financieras grandes, incluidas JPMorgan Chase, Citibank, Bank of America, Citizens, Capital One y Wells Fargo, entre otros.

Microsoft informó también, que la campaña de phishing había estado en silencio durante meses, pero recientemente ha vuelto. Y que la defensa coordinada de Microsoft Threat Protection puede capturar esta campaña y que Office 365 ATP proporciona detecciones duraderas de archivos adjuntos malintencionados y direcciones URL en correos electrónicos y que Microsoft Defender ATP bloquea componentes malintencionados en los puntos de conexión.