El malware Emotet ahora se distribuye utilizando archivos adjuntos de correo electrónico de Microsoft OneNote, con el objetivo de eludir las restricciones de seguridad de Microsoft e infectar a más objetivos.
Emotet es una notoria botnet de malware distribuida históricamente a través de archivos adjuntos de Microsoft Phrase y Excel que contienen macros maliciosas. Si un usuario abre el archivo adjunto y habilita las macros, se descargará y ejecutará una DLL que instala el malware Emotet en el dispositivo.
Una vez cargado, el malware robará contactos de correo electrónico y contenido de correo electrónico para usarlo en futuras campañas de spam. También descargará otras cargas útiles que brindan acceso inicial a la pink corporativa.
Este acceso se utiliza para realizar ataques cibernéticos contra la empresa, que pueden incluir ataques de ransomware, robo de datos, espionaje cibernético y extorsión.
Si bien Emotet fue uno de los programas maliciosos más distribuidos en el pasado, durante el último año, se detenía y comenzaba a rachas, y finalmente se tomaba un descanso a fines de 2022.
Después de tres meses de inactividad, el La botnet Emotet se volvió a encender repentinamentearrojando correos electrónicos maliciosos en todo el mundo a principios de este mes.
Sin embargo, esta campaña inicial tuvo fallas ya que continuó usando documentos de Phrase y Excel con macros. Como Microsoft ahora bloquea automáticamente las macros en los documentos descargados de Phrase y Excel, incluidos los adjuntos a los correos electrónicos, esta campaña solo infectaría a unas pocas personas.
Fuente: BleepingComputer
Debido a esto, BleepingComputer predijo que Emotet cambiaría a archivos de Microsoft OneNote, que se han convertido en un método common para distribuir malware después de que Microsoft comenzara a bloquear macros.
Emotet cambia a Microsoft OneNote
Como se predijo, en una campaña de spam de Emotet visto por primera vez por investigador de seguridad Abellos actores de amenazas ahora han comenzado a distribuir el malware Emotet utilizando archivos adjuntos maliciosos de Microsoft OneNote.
Estos archivos adjuntos se distribuyen en correos electrónicos de cadena de respuesta que se hacen pasar por guías, procedimientos, facturas, referencias laborales y más.
Fuente: BleepingComputer
Se adjuntan al correo electrónico documentos de Microsoft OneNote que muestran un mensaje que indica que el documento está protegido. Luego le pide que haga doble clic en el botón ‘Ver’ para mostrar el documento correctamente.
Fuente: BleepingComputer
Microsoft OneNote le permite crear documentos que contienen elementos de diseño que se superponen a un documento incrustado. Sin embargo, cuando hace doble clic en la ubicación donde se encuentra el archivo incrustado, incluso si hay un elemento de diseño sobre él, se iniciará el archivo.
En esta campaña de malware Emotet, los actores de la amenaza ocultaron un archivo VBScript malicioso llamado ‘click on.wsf’ debajo del botón “Ver”, como se muestra a continuación.
Fuente: BleepingComputer
Este VBScript contiene un script muy ofuscado que descarga una DLL de un sitio internet remoto, probablemente comprometido, y luego la ejecuta.
Fuente: BleepingComputer
Si bien Microsoft OneNote mostrará una advertencia cuando un usuario intente iniciar un archivo incrustado en OneNote, el historial nos ha demostrado que muchos usuarios comúnmente hacen clic en los botones “Aceptar” para deshacerse de la alerta.
Fuente: BleepingComputer
Si el usuario hace clic en el botón Aceptar, el archivo VBScript click on.wsf incrustado se ejecutará mediante WScript.exe de la carpeta Temp de OneNote, que probablemente será diferente para cada usuario:
"%TemppercentOneNote16.0Exported{E2124F1B-FFEA-4F6E-AD1C-F70780DF3667}NT�click on.wsf"
El script luego descargará el malware Emotet como una DLL (VirusTotal) y guárdelo en la misma carpeta Temp. Luego lanzará la DLL con nombre aleatorio usando regsvr32.exe.
Emotet ahora se ejecutará silenciosamente en el dispositivo, robando correo electrónico, contactos y esperando más comandos del servidor de comando y management.
Si bien no se sabe qué payloads arroja finalmente esta campaña, comúnmente conduce a la instalación de Cobalt Strike u otro malware.
Estas cargas útiles permiten a los actores de amenazas que trabajan con Emotet obtener acceso al dispositivo y usarlo como trampolín para expandirse más en la pink.
Bloqueo de documentos maliciosos de Microsoft OneNote
Microsoft OneNote se ha convertido en un problema masivo de distribución de malware, con múltiples campañas de malware que utilizan estos archivos adjuntos.
Debido a esto, Microsoft será agregando protecciones mejoradas en OneNote contra documentos de phishing, pero no hay un cronograma específico sobre cuándo estará disponible para todos.
Sin embargo, los administradores de Home windows pueden configurar políticas de grupo para protegerse contra archivos maliciosos de Microsoft OneNote.
Los administradores pueden usar estas políticas de grupo para bloquear archivos incrustados en Microsoft OneNote por completo o permitirle especificar extensiones de archivo específicas cuya ejecución debería bloquearse.
Fuente: BleepingComputer
Puede leer más sobre las políticas de grupo disponibles en un artículo dedicado BleepingComputer escribió a principios de este mes.
Se recomienda encarecidamente que los administradores de Home windows utilicen una de estas opciones hasta que Microsoft agregue más protecciones a OneNote.
