Los operadores de malware de Emotet encontraron un error en su gestor de arranque

Emotet malware bug

Los operadores de malware Emotet han solucionado un error por el cual, después de abrir un documento malicioso el sistema no fue infectado, y lanzó una campaña de phishing nuevamente.

Déjame recordarte, por cierto, que a finales del año pasado escribimos que Microsoft parchea la vulnerabilidad del instalador de Windows AppX que propaga el malware Emotet.

El principal vector de distribución de Emotet son los correos electrónicos no deseados con archivos adjuntos maliciosos.. Cuando una víctima abre un documento malicioso, Se cargan macros o scripts maliciosos en su sistema con el DLL de gestos.

Error de malware de Emotet
Ejemplo de correo electrónico de phishing de Emotet

Una vez descargado, el malware busca y roba direcciones de correo electrónico para usarlas en futuras campañas de phishing y descarga cargas útiles adicionales como Cobalt Strike u otro malware, incluyendo ransomware.

El viernes, Abril 22, Los operadores de Emotet lanzaron una nueva operación de spam con un archivo ZIP adjunto protegido con contraseña. Contenía un LNK de Windows (Enlace de acceso rápido) archivo disfrazado de documento de Word.

Después de hacer doble clic en el enlace de acceso directo, se ejecutó un comando de búsqueda en el archivo para una cadena especial con código de Visual Basic Script. Luego, este código se agregó a un nuevo archivo VBS que se ejecutó en el sistema..

Sin embargo, el comando mencionado anteriormente contenía un error porque usaba el nombre de acceso directo estático Contraseña2.doc.lnk, aunque el nombre real del archivo adjunto era diferente, por ejemplo, FACTURA 2022-04-22_1033, Estados Unidos.doc. Esto provocó un error en el comando porque el archivo Password2.doc.lnk no existía y el archivo VBS no se creó..Especialistas en Cryptolaemus.

Como Investigador de criptolaemus joseph rosen le dijo a BleepingComptuer, Los operadores de Emotet detuvieron la nueva operación el viernes por la noche cuando descubrieron que el sistema no estaba infectado debido a un error.. Sin embargo, rápidamente arreglaron el error y comenzaron a enviar spam nuevamente el lunes.

Esta vez, el enlace de acceso directo contiene el nombre del archivo real, el comando se ejecuta, y el archivo VBS se crea como se esperaba. Emotet se carga y ejecuta libremente en el sistema atacado.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *