Microsoft Defender alerta a usuarios con falsos positivos de Emotet

En los últimos días el antivirus de Windows, Microsoft Defender para Endpoints, ha estado generando alertas bloqueando la apertura de diferentes documentos Office y otros ejecutables debido a un falso positivo que etiqueta los archivos como un paquete potencial de una carga útil de malware Emotet.

Recordemos que Varios equipos de investigación de proveedores de seguridad han alertado de indicadores que permiten asegurar el regreso de la Botnet Emotet, por lo que mantenemos un constante seguimiento e informado por nuestros boletines “ Botnet Emotet evidenciada tratando de reconstruir su infraestructura “  y “ Conti evidenciado beneficiándose de la aparición de Emotet “. 

Falso positivo de Emotet

Una vez se abre o ejecuta el documento en cuestión Windows Defender genera una notificación que indica que se ha detectado y bloqueado una amenaza. Al abrir la notificación se puede observar la siguiente información.

Notificación de amenaza bloqueada por Microsoft Defender

Dentro de la notificación se indica que hay una actividad sospechosa vinculada a Win32 / PowEmotet.SB o Win32 / PowEmotet.SC.

Algunos usuarios del sistema de Windows informan que esto está sucediendo desde que actualizaron las definiciones de la plataforma de seguridad de punto final empresarial de Microsoft (anteriormente conocida como Microsoft Defender ATP) a la versión 1.353.1874.0.

Declaración de Microsoft

Hasta el momento Microsoft aún no ha compartido información sobre las causas de esto, pero lo más probable es que Microsoft haya aumentado la sensibilidad para detectar algún comportamiento similar al de Emotet siendo mas propenso a falsos positivos. 

Lo que sí ha declarado un portavoz de Microsoft es que: "Estamos trabajando para resolver un problema en el que algunos clientes pueden haber experimentado una serie de detecciones de falsos positivos. Este problema se ha resuelto para los clientes conectados a la nube".

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.