Blog

Alerta de Seguridad por el regreso de EMOTET vía Correos Electrónicos con adjuntos Maliciosos

Emotet, una de las botnets más conocidas e investigadas por miles de expertos en ciberseguridad de todo el mundo, vuelve a sus andanzas de enviar correos electrónicos phishing después de un «descanso» de casi cinco meses en las que no se ha presentado alguna actividad relevante por parte de este grupo de amenaza.

Contexto: Emotet un malware de Tipo troyano que se distribuye a través de campañas de phishing que contienen documentos maliciosos de Excel o Word. Cuando los usuarios abren estos documentos y habilitan las macros, la DLL de Emotet se descarga y cargará en la memoria, dejando al equipo de la víctima comprometida.

Una vez cargado el malware, empezará a buscar y robar credenciales de correos electrónicos para usarlos en futuras campañas de spam y acompañarlas con payloads adicionales como Cobalt Strike u otro malware que comúnmente conduce a ataques de ransomware.

El regreso de Emotet

El día 2 de noviembre del presente año, los investigadores del grupo EmotetCryptolaemus, informaron que aproximadamente a las 4:00 a.m. ET del 2 de noviembre, la operación de Emotet volvió a cobrar vida repentinamente, enviando correos spam a direcciones de correo electrónico en todo el mundo, con archivos adjunto, tanto archivos Excel, como también estos mismos, pero dentro de archivos comprimidos protegidos con contraseña. Esto se hace para evitar la detección temprana de muchos antivirus.

Una de las muestras recientemente publicadas y compartidas con la comunidad fue @ffforward, Threat Researcher de Proofpoint, donde en un tweet comenta levemente sobre él envió de nuevos archivos malicioso .XLS, como también, archivos comprimidos que adjuntan este mismo archivo de Excel. Además de facilitarnos un HASH para su búsqueda en diferentes motores de bases de datos de malwares.

Ahora que Emotet ha regresado a sus andanzas, es de gran importancia el monitorear de manera activa los correos electrónicos que el personal de la organización vaya recibiendo ahora en adelante, además de considerar posibles campañas de concientización para entrenar a los miembros de la organización, para detectar de manera oportuna, alguna campaña de phishing de alto impacto y enviar dicho correo al departamento de seguridad correspondiente para su análisis.

Indicadores de Compromisos – C2

  • 187.63.160[.]88
  • 167.172.199[.]165
  • 91.187.140[.]35
  • 186.250.48[.]5
  • 149.28.143[.]92
  • 169.60.181[.]70
  • 182.162.143[.]56
  • 159.65.3[.]147
  • 27.254.65[.]114

Recomendaciones de seguridad

  • Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
  • Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
  • No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
  • No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.
  • Manténgase informado de las últimas amenazas y riesgos en Internet.
  • Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.
  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required