Tras cuatro meses desaparecidos, el grupo de ciberdelincuencia TA542 ha vuelto a distribuir correos electrónicos con malware Emotet, según un análisis realizado por los expertos de Proofpoint. En estos ataques, España es uno de los objetivos donde han puesto su mira. Para conseguir su objetivo, los mensajes enviados utilizan el idioma local, lo que ayuda a que las personas se confíen.
En general, la actividad de TA542 sigue siendo similar a la registrada anteriormente, pero con algunas mejoras: nuevos señuelos en forma de archivos adjuntos de Excel, cambios en el binario de Emotet y una versión más ligera del loader IcedID, entre otros cambios.
Además de España, Proofpoint ha observado ataques sistemáticos de TA542 en países como Estados Unidos, Reino Unido, Japón, Alemania, Italia, Francia, México y Brasil, aunque la lista podría incluir alguno más. Los asuntos, los nombres de los archivos y el cuerpo de texto de cada correo electrónico están escritos en el idioma específico de las potenciales víctimas.
El contenido malicioso enviado como Excel o archivo comprimido, protegido por una contraseña con un Excel en su interior, contiene macros que liberan la carga de Emotet. Como novedad, se dan instrucciones para que las víctimas copien el archivo Excel dentro de unas plantillas de Microsoft Office, una ubicación de confianza para los usuarios, ejecutando inmediatamente las macros sin necesidad de más interacción.
Según Proofpoint, queda por ver la eficacia de esta técnica que, si bien no necesita un clic adicional por parte del usuario, requiere mover el archivo, confirmar la acción y tener permisos de administrador. Aun así, este regreso de TA542 puede ser preocupante: la entrega del loader IcedID como payload de seguimiento de infecciones de Emotet podría conducir a amenazas de ransomware, como se ha visto en otros casos. La compañía de ciberseguridad insiste en la importancia de conocer y entender bien las amenazas actuales por parte de los usuarios, mediante formación y concienciación sobre seguridad, para proteger el correo electrónico —el principal vector de ataque— y los datos, así como hacer que las personas sean más resilientes.
“Emotet es una red de distribución de malware increíblemente potente que lleva años existiendo. Lo seguimos muy de cerca debido a su enorme persistencia, volumen de amenazas y tácticas innovadoras”, declara Sherrod DeGrippo, vicepresidenta de investigación y detección de amenazas de Proofpoint. “Lo particularmente interesante de esta reaparición es que Emotet sigue operando, evolucionando y no muestra signos de interrumpir sus operaciones”.