Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Malware Emotet distribuido como formularios de impuestos W-9 falsos del IRS

Malware Emotet distribuido como formularios de impuestos W-9 falsos del IRS

por Dragora

Una nueva campaña de phishing de Emotet está dirigida a los contribuyentes estadounidenses al hacerse pasar por formularios de impuestos W-9 supuestamente enviados por el Servicio de Impuestos Internos y las compañías con las que trabaja.

Emotet es una infección de malware notoria distribuida a través de correos electrónicos de phishing que en el pasado contenían documentos de Microsoft Word y Excel con macros maliciosas que instalan el malware.

Sin embargo, después de que Microsoft comenzó a bloquear macros de forma predeterminada en los documentos de Office descargados, Emotet cambió a usar archivos de Microsoft OneNote con scripts incrustados para instalar el malware Emotet.

Una vez instalado Emotet, el malware robará los correos electrónicos de las víctimas para usarlos en futuros ataques en cadena de respuesta, enviará más correos electrónicos no deseados y, en última instancia, instalará otro malware que proporcione acceso inicial a otros actores de amenazas, como las bandas de ransomware.

Emotet se prepara para la temporada de impuestos de EE.UU.

Las operaciones de malware de Emotet suelen utilizar campañas de phishing temáticas para coincidir con las vacaciones y las actividades comerciales anuales, como la actual temporada de impuestos de EE.

En las nuevas campañas de phishing vistas por los investigadores de seguridad de Malwarebytes y Palo Alto Networks Unit42, el malware Emotet se dirige a los usuarios con correos electrónicos que contienen archivos adjuntos falsos del formulario de impuestos W-9.

En la campaña vista por Malwarebytes, los actores de amenazas envían correos electrónicos titulados ‘Formularios de impuestos del IRS W-9’, mientras se hacen pasar por un ‘Inspector’ del Servicio de Impuestos Internos.

Estos correos electrónicos de phishing contienen un archivo ZIP llamado ‘formulario W-9.zip’ que contiene un documento malicioso de Word. Este documento de Word se ha inflado a más de 500 MB para dificultar que el software de seguridad lo detecte como malicioso.

Correo electrónico de Emotet haciéndose pasar por el IRS
Correo electrónico de Emotet haciéndose pasar por el IRS
Fuente: Malwarebytes

Sin embargo, ahora que Microsoft está bloqueando las macros de forma predeterminada, es menos probable que los usuarios se tomen la molestia de habilitar las macros y se infecten con documentos maliciosos de Word.

Documento de Word Emotet
Emotet Word Fuente del documento
: BleepingComputer

En una campaña de phishing vista por Brad Duncan de Unit42, los actores de amenazas evitan estas restricciones mediante el uso de documentos de Microsoft OneNote con archivos VBScript incrustados que instalan el malware Emotet.

Esta campaña de phishing utiliza correos electrónicos de cadena de respuesta que contienen simular ser de socios comerciales que le envían formularios W-9, como se muestra a continuación.

Correo electrónico de cadena de respuestas de Emotet con archivos adjuntos maliciosos de Microsoft OneNote
Correo electrónico de cadena de respuestas de Emotet con archivos adjuntos maliciosos de
Microsoft OneNote Fuente: Unit42

Archivo malintencionado de Microsoft OneNote que suplanta un formulario W-9
Archivo malintencionado de Microsoft OneNote que suplanta un formulario
W-9 Origen: BleepingComputer

Al iniciar el archivo VBScript incrustado, Microsoft OneNote advertirá al usuario que el archivo puede ser malicioso. Desafortunadamente, la historia nos ha demostrado que muchos usuarios ignoran estas advertencias y simplemente permiten que los archivos se ejecuten.

Una vez ejecutado, VBScript descargará la DLL de Emotet y la ejecutará con regsvr32.exe.

El malware ahora se ejecutará silenciosamente en segundo plano, robando correo electrónico, contactos y esperando que se instalen más cargas útiles en el dispositivo.

Si recibe algún correo electrónico que dice ser W-9 u otros formularios de impuestos, primero escanee los documentos con su software antivirus local. Sin embargo, debido a la naturaleza sensible de estos formularios, no se recomienda cargarlos en servicios de análisis basados en la nube como VirusTotal.

Normalmente, los formularios de impuestos se distribuyen como documentos PDF y no como archivos adjuntos de Word, por lo que si recibe uno, debe evitar abrirlo y habilitar macros.

Finalmente, es dudoso que los formularios de impuestos se envíen como documentos de OneNote, así que elimine inmediatamente el correo electrónico y no lo abra si recibe uno.

Como siempre, la mejor línea de defensa es descartar cualquier correo electrónico de personas que no conozcas, y si las conoces, contáctalas primero por teléfono para confirmar si lo enviaron.

Fuente: https://www.bleepingcomputer.com

You may also like

Dejar Comentario

Click to listen highlighted text!