TA542, un grupo de ciberdelincuentes que distribuye el malware Emotet, ha terminado su receso de verano y está lanzando cada vez más campañas nuevas. Sin embargo, también con variantes de Emotet modificadas.
El grupo TA542 estuvo ausente durante casi cuatro meses y se vio por última vez en acción el verano del 13 de julio de 2022. Desde el 2 de noviembre, los especialistas en seguridad de Proofpoint han estado monitoreando las nuevas actividades de TA542, especialmente en Alemania.
Conclusiones clave sobre las campañas de Emotet
- TA542 utiliza variantes de Emotet personalizadas en las nuevas campañas. Los cambios (ver a continuación) afectan las cargas útiles y el cebo utilizado, así como los cambios en los módulos Emotet, el cargador y el empacador.
- Emotet ahora también ofrece el troyano bancario IcedID.
- Las nuevas actividades indican que Emotet está recuperando su funcionalidad completa como red de distribución para diferentes cepas de malware.
- La botnet tiene algunas diferencias clave con respecto a campañas anteriores. Esto indica que están involucrados nuevos operadores o una nueva administración.
- Las campañas de correo electrónico de TA542 se encuentran entre los líderes en delitos cibernéticos en términos de volumen de correo electrónico. Proofpoint ya ha bloqueado cientos de miles de mensajes por día.
- El archivo de Excel que contiene el malware incluye instrucciones para que las víctimas potenciales copien el archivo en una ubicación de plantilla de Microsoft Office y lo ejecuten desde allí. Se requieren derechos de administrador para esto. Esto se aplica más a las computadoras privadas que a las de la empresa.
Las principales novedades de Emotet
- Nuevos señuelos visuales para archivos adjuntos de Excel
- Cambios en el binario de Emotet
- Emotet usa una nueva versión del cargador IcedID
- Además de IcedID, se utiliza el descargador de malware Bumblebee
Los expertos en seguridad cibernética de Proofpoint anticipan que TA542 continuará adaptando su método, con el potencial de mayores volúmenes de correo electrónico, regiones más específicas y nuevas variantes o técnicas de malware adjunto o vinculado. Los cambios que ya se han realizado en el binario de Emotet sugieren que los ciberdelincuentes también continuarán personalizándolo.
Emotet: los expertos esperan un fuerte aumento
Todo indica que Emotet recuperará toda su funcionalidad como red de distribución de muchas de las principales familias de malware. Lo que es particularmente interesante es que Emotet está evolucionando. Lo hemos estado observando durante años y no hay señales de que cese sus operaciones. Sigue muriendo y reviviendo como un gato con más de nueve vidas.
Más en Proofpoint.com
Acerca de Proofpoint Proofpoint, Inc. es una empresa líder en ciberseguridad. El enfoque de Proofpoint es la protección de los empleados. Porque estos significan el mayor capital para una empresa, pero también el mayor riesgo. Con un conjunto integrado de soluciones de ciberseguridad basadas en la nube, Proofpoint ayuda a las organizaciones de todo el mundo a detener las amenazas dirigidas, proteger sus datos y educar a los usuarios de TI empresariales sobre los riesgos de los ciberataques.