Atacantes Enviando Correos Electrónicos de Phishing del IRS para Instalar Malware Emotett

En un descubrimiento, investigadores de seguridad de Malwarebytes y Palo Alto Networks unidad 42 encontraron que el malware Emotet está atacando a los usuarios con correos electrónicos de phishing que contienen archivos adjuntos falsos del formulario W-9.

El Emotet es una infección de malware infame que se distribuye a través de correos electrónicos de phishing que anteriormente contenían documentos de Microsoft Word y Microsoft Excel con macros maliciosas que instalan el malware.

Sin embargo, dado que Microsoft ahora bloquea las macros por defecto en los documentos de Microsoft Word descargados, el malware Emotet se trasladó a Microsoft OneNote con scripts incrustados para instalar el malware Emolett.

Los atacantes que operan Emotet generalmente utilizan campañas de phishing temáticas para coincidir con las festividades y las declaraciones de impuestos anuales, es decir, la temporada de impuestos en EE. UU. En cuanto a la campaña de phishing encontrada por Malwarebytes, los atacantes envían correos electrónicos con el asunto “Formulario de impuestos TRS W-9” mientras se hacen pasar por una autoridad del Servicio de Renovación Interna.

Leer: Malware Común Magic y Power Magic Usado en Ataques de Vigilancia Avanzados

Estos correos electrónicos de phishing tienen un archivo ZIP llamado W-9 form.zip que contiene un documento de Word malicioso. El documento ha sido inflado a 500MB para dificultar que el software de seguridad detecte si es malicioso.

A medida que se instala el Emotet, el malware comienza a robar el correo electrónico de la víctima para sus futuros ataques en cadena de reproducción y luego envía correos electrónicos no deseados y, al final, instala otro malware que da acceso inicial a otros actores de amenazas también.

Dicho esto, dado que Microsoft ahora bloquea las macros por defecto, es menos probable que los usuarios pasen por el dolor de habilitar macros y se infecten con documentos de Word.

Ahora, en la actividad de phishing encontrada por la Unidad 42 de Palo Alto, los atacantes eluden estas restricciones utilizando un documento de Microsoft OneNote con los archivos VBScript habilitados que instalan el malware.

Después de eso, la actividad de phishing utiliza el correo electrónico de cadena de reproducción, que finge ser los socios comerciales enviando a las víctimas el formulario W-9.

El documento de OneNote adjunto hará que se crea que está protegido y solicita al usuario que haga doble clic para ver el documento correctamente, aunque lo que está oculto dentro es el botón Ver que tiene VBScripts que se lanzarán en su lugar.

Al abrir el archivo VBScript incrustado, Microsoft OneNote advierte al usuario que el archivo puede ser malicioso, pero desafortunadamente, como sabemos, muchos de los usuarios simplemente ignoran estas advertencias y permiten que los archivos se ejecuten. Una vez que se ejecutan los archivos, VBScript descargará el DLL de Emotet y lo ejecutará utilizando regsvr32.exe.

Después de eso, el malware se ejecuta silenciosamente en segundo plano, robando correos electrónicos y contactos y luego esperando que se instale una carga útil adicional en el dispositivo.

Así que si recibes algún correo electrónico que afirme tener el formulario W-9 o de cualquier otro formulario de impuestos, simplemente escanea el documento primero con software antivirus.

Además, estos formularios se envían como archivos adjuntos PDF, no como archivos adjuntos de Word, así que evita abrirlos y habilitar macros y, en su lugar, elimina los correos electrónicos.

Leer: Actualización de Ciberseguridad de Fortinet Falla; Zero-Day Explotado por Actores de Amenaza