Emotet: G DATA advierte contra documentos de Word desde Internet

En una campaña de malware actual, los usuarios son atraídos con la promesa de un crédito de factura. Pero los documentos de Word infectados no son un verdadero placer, ya que instalan malware en el fondo.

Los analistas de G DATA han descubierto una nueva amenaza de seguridad en los documentos de Word. A los usuarios se les prometen correcciones de facturas u otros bonos. Para reclamarlos, deben abrir un documento de Word adjunto. Este documento contiene código malicioso que conduce a la instalación del conocido malware Emotet y prepara una computadora para la instalación de otro malware.

Los correos electrónicos en cuestión se envían con un nombre falso, a menudo como mensajes de amigos o socios comerciales de las posibles víctimas. Sin embargo, las direcciones de correo solo se falsifican superficialmente, una mirada al encabezado detallado del correo electrónico muestra las direcciones originales del remitente. Un ejemplo concreto en el G DATA SecurityLabs tiene la línea de asunto “carta de pago”.

Casi ningún uso legítimo para macros

Sin embargo, para que se instale el malware, los usuarios deben aceptar la ejecución de macros. Sin embargo, esta opción nunca debe seleccionarse para documentos de Internet, ya que casi no hay casos de uso para las macros, especialmente para usuarios privados. Sin embargo, en la campaña actual, los usuarios deben ser persuadidos con un truco particularmente pérfido para permitir el contenido activo.

El documento está coloreado de azul y muestra una referencia de que el archivo se creó con una versión web de Office. Por lo tanto, los usuarios tendrían que desbloquear el contenido activo. Si lo hacen, la macro en segundo plano abre Windows Powershell y carga más malware. Se usa Emotet aquí. Ya hemos informado sobre este malware varias veces en el Blog de seguridad de G DATA. Emotet puede implantarse permanentemente en un sistema y luego abre una puerta trasera para la instalación de otro malware.

En la computadora, se crea un archivo exe en la carpeta para archivos temporales, que tiene tres números aleatorios como nombres. Además, el sistema intenta acceder a las URL generadas aleatoriamente de los dominios colexpresscargo.com, notehashtom.ir, corporaciondelsur.com.pe y farmasi.uin-malang.ac.id. Probablemente estos sitios web no sean suficientemente seguros, en realidad legítimos, que fueron tomados por los criminales.

Consejos de seguridad de G DATA

Las soluciones de seguridad de G DATA ya reconocen numerosas variantes del malware, por ejemplo con el nombre VB.EmoDldr.12.Gen. Sin embargo, los delincuentes desarrollan aún más el malware en muy poco tiempo, por lo que las nuevas versiones están circulando una y otra vez. Además de instalar una solución antivirus, los usuarios siempre deben observar las siguientes reglas cuando manejan correos electrónicos:

1) Los correos electrónicos no deseados enviados por terceros siempre deben ser vistos de manera crítica, especialmente si contienen archivos adjuntos.

2) Para los usuarios privados casi no hay aplicaciones para macros y otros “elementos activos”. Por lo tanto, no deben ser activados en absoluto. Además, en el contexto empresarial, los macros solo tienen fines limitados, por lo general se utilizan solo en formas especiales.

3) En caso de duda: solo pregunte si el correo proviene realmente del remitente. Si se conoce al remitente, es mejor hacer una llamada personal rápida o preguntar a través de un mensajero.

15/11/2018 | Hauke ​​Gierow, Autor: Hauke ​​Gierow

Comentarios

comments

Powered by Facebook Comments