Falso correo de Amazon propaga nueva variante de Emotet

Una nueva campaña identificada en las últimas horas suplanta la identidad de Amazon e intenta engañar a los usuarios con un correo electrónico que llega con el nombre y apellidos de la víctima para finalmente infectarla con el troyano Emotet.

Casi un mes después de los engaños y amenazas relacionados con las ofertas online por CiberMonday y BlackFriday, una nueva campaña que identificamos en las ultimatus horas está suplantando la identidad de Amazon para propagar una nueva variante del troyano Emotet.

En este caso, el engaño comienza con un correo electrónico que, a diferencia de otros engaños relacionados con el phishing y el robo de credenciales a través de sitios falsos, no contiene un enlace a una página en la que se solicita al usuario el ingreso de datos, sino que simplemente información acerca de una compra en el sitio Amazon.

Resulta interesante analizar el correo en cuestión, ya que no solamente tiene un diseño muy similar a los originales que envía a Amazon, sino que además viene con el nombre y apellido de la victima (dato que probablemente se obtenga a partir de la dirección de correo o de alguna filtración de información).

Imagen 1: Correo fraudulento suplantando la identidad de Amazon

Si bien a simple vista el correo pareciera ser autentico y provenir de una direccion genuina, lo cierto es que al desplegar los detalles del remitente podemos que en realidad se está viando desde observar una dirección que nada tiene que ver con el dominio de Amazon. Encontramos entonces el primer indicio que indica que se trata de un engaño.

Imagen 2: La dirección real desde la cual se envía el correo. La misma no pertenece a Amazon

Como decimos al principio de este post, a diferencia de los correos electrónicos comúnmente asociados a campañas de phishing y otras estafas, en este caso no se solicita información al usuario, no se indica clic para solucionar el problema y mucho menos descargar un archivo adjunto. El engaño busca pasar lo más desapercibido posible y para eso intenta despertar la curiosidad del usuario que recibe un simple correo de confirmación por una compra realizada.

La mayoría de las víctimas que reciben este correo crearon una cuenta en la web de Amazon en algún momento o suelen realizar compras en ese portal, por lo que lo primero que piensa es que alguien robó sus credenciales y está realizando compras fraudulentas desde su perfil. Apelando a esta preocupación y al buen diseño del correo, el atacante busca a sus víctimas haciendo clic en los enlaces detrás del número de pedido o en el botón “detalles de compra”. Aquí encontramos el segundo indicador que confirma las sospechas: el correo electrónico es claramente una estafa. Como podemos apreciar en la imagen a continuación, el enlace en realidad no conduce al sitio de Amazon, sino a un dominio en Brasil que probablemente sea una web vulnerable donde el atacante aloja sus archivos maliciosos.

Imagen 3: Enlace a un dominio que no corresponde al sitio de Amazon

Si el usuario hizo haga clic en el botón "detalles de compra" no se abriría ningún sitio web, sino que descargar automáticamente un archivo de Word con el supuesto detalle de la orden. No es la primera vez que observamos correos que utilizan enlaces de descarga directa para evitar adjuntar archivos maliciosos al correo y así sortear las protecciones antivirus de los servidores de correo.

El archivo descargado se trata de un Trojano de Descarga, el cual tiene oculta una macro que descarga el payload. Dado que la suite de Office cuenta desde hace unos años con una vista protegida para evitar la ejecución de macros y otros componentes de forma automática, el archivo apela a la Ingeniería Social para hacer creer al usuario que ha sido creado en una versión anterior de Office y debe habilitar la edición para poder ver el contenido.

Imagen 4: Vista protegida del troyano

Al analizar el código y el comportamiento de la macro del archivo, el resultado es muy similar al que vimos hace apenas un mes cuando analizamos una campaña de propagación del troyano Emotet. Al igual que en aquella ocasión, el código hace referencia a un cuadro de texto escondido en el documento, donde se encuentran los comandos y datos de conexión para la descarga y ejecución del payload malicioso.

Imagen 5: Macro maliciosa

El cuadro de texto está oculto dentro del cuerpo del documento, en la parte superior y en un tamaño minúsculo (debemos ampliar el zoom al 500% para encontrarlo).

Imagen 6: Cuadro de texto diminuto oculto en el documento

Al expandir el tamaño del cuadro de texto podemos ver el contenido: los comandos de ejecución y los enlaces donde finalmente el troyano descarga el payload:

Imagen 7: Cuadro de texto ampliado con la información de descarga y ejecución

Al momento del análisis, apenas dos de los cinco enlaces encontrados en el documento permanecian activos. Desde estos enlaces el troyano descarga dos ejecutables que se tratan de una nueva variante de Emotet. Desde ESET detectamos estas nuevas variantes desde la firma Win32/GenKryptik.CULQ, la cual se suma a la larga lista de variantes de Emotet que ya han sido detectadas. En este caso, los hash SHA-1 asociados a esta detección son:

SHA-1
d77a2facc587b5242abf7e9063fc7204f67771e9
89cf347e05d9bdfcfe9a5ffba35fc448d4b15b73

el troyano Emotet se caracteriza por su constante mutación (por lo que seguimos encontrando nuevas variantes) y por contener payloads de diferentes familias de troyanos bancarios y spyware que buscan robar la información del usuario. El análisis de este caso es interesante porque el atacante busca ir más allá del Phishing tradicional, combinando diferentes técnicas de propagación y engaño para que su víctima haga clic en un enlace, ejecute un archivo y finalmente el código malicioso logra comprometer la computadora y recopilar los datos. sensibles.

Desde ESET recomienda a nuestros usuarios que no hagan clic en ningun enlace que provenga de correos no solicitados. En caso de duda, inicie sesión directamente en el portal en cuestión y sobre todo utilice soluciones de seguridad actualizadas para protegerse de las últimas amenazas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!