Troyano Emotet lanza su especial Black Friday y envía como archivo adjunto XML infectado

El laboratorio de ESET detectó otra gran campaña de Emotet que probablemente esté vinculada al aumento de las compras online y al envío de correos relacionados con el Black Friday. Comparado con los ataques previos, los operadores detrás de este troyano han modificado limentare su modus operandi. Si bien esta nueva camaña sigue siendo distribuida a través de correos no deseados que contienen archivos adjuntos con macros infectadas o enlaces a esos archivos, en fechas cercanas al Black Friday se detectaron archivos adjuntos y enlaces a archivos XML con extensión .doc. estudio anteriore, donde enviaban archivos DOC y PDF.

En cuanto al payload secundario, Emotet está distribuyendo varias familias de troyanos bancarios, como son Ursnif, TrickBot y en el mayor de los casos IcedId. El último también descargó otro payload llamado Azorult, que también fue detectado por ESET. Win32/PSW.Delf.OSF, y que es conocido por su habilidad para robar contraseñas, detalles de tarjetas de crédito y accesos a billeteras de criptomonedas. Por otro lado, TrickBot "mejoró" para incorporar múltiples bancos de Reino Unido y Alemania a la lista de sus objetivos de ataque.

Analizando la distribución geográfica de esta última campaña, los países de América Latina parecen ser los más afectados, con México, Ecuador y Argentina encabezando la lista de cientos de kilómetros de detecciones. Asimismo, Estados Unidos se encuentra en el top cinco de los países objetivo, mientras que Reino Unido y Sudáfrica forman parte del top ten.

Tendencia de las tecciones de Emotet según ESET.

Artículos Recientes:

Indicadores de compromiso (IoC)

Cargas útiles de Emotet

PSW.Delf.OSF – AZORult