Según investigadores de Malwarebytes, se han registrado indicios de actividad del troyano Emotet durante el lunes pasado que comenzó a enviar correos vía spam, una clara señal de que podría atacar nuevamente. Esta vez los correos electrónicos maliciosos comienzan con una plantilla en idioma alemán, polaco, italiano e inglés, donde se logró identificar que los correos electrónicos de phishing asociado a dicho malware vienen con el asunto llamado “Payment Remittance Advice”.
El nuevo hallazgo de Emotet contiene un archivo adjunto en formato Word, con el objetivo de poder engañar y persuadir a la futura víctima, tan solo con abrir y habilitar el contenido del archivo adjunto permitiría que la macro inicie el proceso de infección. El comando PowerShell activado por la macro intentará descargar Emotet de sitios comprometidos, a menudo ejecutando el CMS de WordPress.
Una vez instalado, Emotet intenta propagarse lateralmente, pudiendo robar contraseñas de las aplicaciones instaladas, además de contar con la posibilidad de instalar distintos tipos de malware como el troyano Qakbot y Trickbot.
Para los usuarios infectados con el troyano Trickbot, y que no ha sido detectada la infección, existe una alta probabilidad de contagiarse con el ransomware Ryuk. Durante la mañana del día 16 de Septiembre, diversos investigadores han señalado que el botnet está totalmente de vuelta en acción.
Se recomienda lo siguiente:
| https://blog.malwarebytes.com/botnets/2019... |
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 8.1 10 |