TA542 vuelve a distribuir el malware Emotet en correos electrónicos masivos con España entre sus objetivos

Del ‘phishing’ por correo electrónico a la creciente amenaza del ‘smishing’: ¿qué hay detrás de las estafas por SMS?

El grupo de ciberdelincuencia TA542 vuelve a distribuir correos electrónicos con malware Emotet tras cuatro meses ausente del panorama de amenazas, según un análisis de la empresa líder de ciberseguridad y cumplimiento normativo Proofpoint. España es uno de los objetivos de estos ataques, que no solo se lanzan en función de la ubicación de los destinatarios, sino que además se caracterizan por el uso del idioma local en los mensajes. Pese a que muchas de las tácticas que emplea siguen siendo las mismas, las campañas de TA542 detectadas a principios de noviembre se encuentran ya entre las de mayor volumen de emails, de los cuales Proofpoint bloquea cientos de miles al día.

En general, la actividad de TA542 sigue siendo similar a la registrada anteriormente, pero con algunas mejoras: nuevos señuelos en forma de archivos adjuntos de Excel, cambios en el binario de Emotet y una versión más ligera del loader IcedID, entre otros cambios.

Además de España, Proofpoint ha observado ataques sistemáticos de TA542 en países como Estados Unidos, Reino Unido, Japón, Alemania, Italia, Francia, México y Brasil, aunque la lista podría incluir alguno más. Los asuntos, los nombres de los archivos y el cuerpo de texto de cada correo electrónico están escritos en el idioma específico de las potenciales víctimas.

El contenido malicioso enviado como Excel o archivo comprimido, protegido por una contraseña con un Excel en su interior, contiene macros que liberan la carga de Emotet. Como novedad, se dan instrucciones para que las víctimas copien el archivo Excel dentro de unas plantillas de Microsoft Office, una ubicación de confianza para los usuarios, ejecutando inmediatamente las macros sin necesidad de más interacción.

TA542 vuelve a distribuir el malware Emotet en correos electrónicos masivos con España entre sus objetivos

Correo electrónico malicioso de TA542 escrito en español.

Según Proofpoint, queda por ver la eficacia de esta técnica que, si bien no necesita un clic adicional por parte del usuario, requiere mover el archivo, confirmar la acción y tener permisos de administrador. Aun así, este regreso de TA542 puede ser preocupante: la entrega del loader IcedID como payload de seguimiento de infecciones de Emotet podría conducir a amenazas de ransomware, como se ha visto en otros casos. La compañía de ciberseguridad insiste en la importancia de conocer y entender bien las amenazas actuales por parte de los usuarios, mediante formación y concienciación sobre seguridad, para proteger el correo electrónico —el principal vector de ataque— y los datos, así como hacer que las personas sean más resilientes.

Sobre el autor