Emotet amplía sus técnicas de distribución para mantener su prevalencia

0

El equipo de investigación de Proofpoint ha publicado un nuevo informe que desvela las nuevas tácticas utilizadas por el grupo cibercriminal TA542 para distribuir Emotet, lo que parece indicar que los cibercriminales están probando nuevas técnicas de ataque a pequeña escala, antes de adoptarlas en campañas de mayor calado.

Emotet es una red de bots y troyanos considerada como una de las ciberamenazas más prolíficas antes de su desarticulación por las fuerzas de seguridad en enero de 2021. Pero 10 meses después de su desaparición, Proofpoint detectó un resurgimiento de esta botnet y, desde entonces, el grupo asociado a Emotet, TA542, ha atacado a miles de clientes creando campañas que, en algunos casos, alcanzaron más de un millón de mensajes.

En las actividades registradas recientemente, durante el mes de abril, el grupo TA542 ha empleado una serie de tácticas inusuales en la distribución de Emotet:

  • El bajo volumen de actividad – Habitualmente, Emotet distribuye campañas de gran volumen, dirigidas a múltiples objetivos a nivel global.
  • El uso de URLs de OneDrive – Normalmente, Emotet envía archivos de Microsoft Office adjuntos, o URLs (alojadas en páginas comprometidas) que enlazan a archivos de Office.
  • El uso de ficheros XLL –Por lo general, Emotet usa documentos de Microsoft Excel o de Word que contienen macros VBA a XL4.

Es llamativo que TA542 se interese por nuevas técnicas que no dependan de documentos con macros, ya que Microsoft está dificultando cada vez más que los actores de amenazas utilicen las macros como vector de infección. 

“Después de meses de actividad constante, Emotet está cambiando sus tácticas”, comenta Sherrod DeGrippo, vicepresidenta de Detección e Investigación de Amenazas de Proofpoint. “Es probable que este grupo de cibercriminales esté probando nuevos comportamientos a pequeña escala antes de entregarlos a las víctimas de forma más amplia, o para distribuirlos a través de nuevas TTPs junto con sus campañas existentes de gran volumen. Las organizaciones deben ser conscientes de las nuevas técnicas y asegurarse de que están implementando las defensas adecuadas».

About Author

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Leave A Reply