Emotet es un troyano avanzado, modular y de autopropagación
El notorio malware Emotet ha recurrido a implementar un nuevo módulo diseñado para desviar la información de la tarjeta de crédito almacenada en el navegador web Chrome.
El ladrón de tarjetas de crédito, que identifica exclusivamente a Chrome, tiene la capacidad de filtrar la información recopilada a diferentes servidores remotos de comando y control (C2), según la empresa de seguridad empresarial Proofpoint, que observó el componente el 6 de junio.
El desarrollo se produce en medio de un aumento en la actividad de Emotet desde que resucitó a fines del año pasado luego de una pausa de 10 meses a raíz de una operación policial que eliminó su infraestructura de ataque en enero de 2021.
Emotet, atribuido a un actor de amenazas conocido como TA542 (también conocido como Mummy Spider o Gold Crestwood), es un troyano avanzado, modular y de autopropagación que se envía a través de campañas de correo electrónico y se utiliza como distribuidor de otras cargas útiles, como ransomware.
A partir de abril de 2022, Emotet sigue siendo el malware más popular con un impacto global del 6% en las organizaciones en todo el mundo, seguido por Formbook y Agent Tesla, según Check Point, con el malware probando nuevos métodos de entrega utilizando URL de OneDrive y PowerShell en archivos adjuntos .LNK para sortear las restricciones de macros de Microsoft.
El crecimiento constante de las amenazas relacionadas con Emotet se confirma aún más por el hecho de que la cantidad de correos electrónicos de phishing, a menudo secuestrando correspondencia ya existente, aumentó de 3.000 en febrero de 2022 a aproximadamente 30.000 en marzo dirigidos a organizaciones en varios países como parte de una campaña de spam a gran escala.
Al afirmar que la actividad de Emotet ha "cambiado a una marcha más alta" en marzo y abril de 2022, ESET dijo que las detecciones se multiplicaron por 100, registrando un crecimiento de más del 11.000% durante los primeros cuatro meses del año en comparación con el período de tres meses anterior de septiembre a diciembre de 2021.
Algunos de los objetivos comunes desde la resurrección de la botnet han sido Japón, Italia y México, señaló la compañía de ciberseguridad eslovaca, y agregó que la ola más grande se registró el 16 de marzo de 2022.
"El tamaño de las últimas campañas LNK y XLL de Emotet fue significativamente menor que las distribuidas a través de archivos DOC comprometidos vistos en marzo", dijo Dušan Lacika, ingeniero de detección senior de Dušan Lacika.
"Esto sugiere que los operadores solo están utilizando una fracción del potencial de la botnet mientras prueban nuevos vectores de distribución que podrían reemplazar las macros VBA ahora deshabilitadas por defecto".
Los hallazgos también surgen cuando los investigadores de CyberArk demostraron una nueva técnica para extraer credenciales de texto sin formato directamente de la memoria en los navegadores web basados en Chromium.
"Los datos de credenciales se almacenan en la memoria de Chrome en formato de texto sin formato", dijo Zeev Ben Porat de CyberArk. "Además de los datos que se ingresan dinámicamente al iniciar sesión en aplicaciones web específicas, un atacante puede hacer que el navegador cargue en la memoria todas las contraseñas almacenadas en el administrador de contraseñas".
Esto también incluye información relacionada con las cookies, como las cookies de sesión, lo que podría permitir que un atacante extraiga la información y la use para secuestrar las cuentas de los usuarios, incluso cuando están protegidos por autenticación multifactor.
