Emotet ha regresado con fuerza. Ahora, una nueva variante de este malware consigue hacerse con la información de la tarjeta de créditos de los usuarios que se almacena en el navegador Google Chrome.

Expertos de la compañía de seguridad Proofpoint han descubierto que Emotet ha conseguido implementar un módulo que permite transferir información de las tarjetas de crédito que se guarda en el navegador Chrome.

De esta forma, los ciberdelincuentes consiguen filtrar la información recopilada a diferentes servidores remotos de comando y control (C2). Por el momento se ha detectado en el popular navegador de Google.

Con esta nueva variante queda confirmado el aumento de la actividad de Emotet, detectada desde finales del pasado año, tras 10 meses de inactividad a raíz de la operación que desmanteló su infraestructura en enero de 2021.

Emotet, atribuido a un actor de amenazas conocido como TA542 (también conocido como Mummy Spider o Gold Crestwood), es un troyano avanzado, modular y de autopropagación que se envía a través de campañas de correo electrónico y se utiliza como distribuidor de otras amenazas, especialmente de ransomware.

Pese a que la operación policial que terminó con su desmantelamiento parecía el final de este malware, la realidad ha sido otra.

Check Point apunta que la actividad de Emotet se ha intensificado especialmente desde el pasado mes de abril, y ya afecta al 6% de las organizaciones en todo el mundo.

Para conseguirlo está utilizando distintos métodos de entrega a través de URL de OneDrive y Powershell, y archivos adjuntos .LNK para sortear las restricciones de macros de Microsoft.

Según la compañía, el crecimiento de las amenazas relacionadas con Emotet también se ve refrendado por el aumento de la cantidad de correos electrónicos con phishing. Solo durante el mes de febrero a marzo se pasó de 3.000 emails a 30.000, dirigidos a organizaciones en varios países como parte de una campaña masiva de spam.

El auge de Emotet

El avance de Emotet ha seguido imparable y, según los datos de ESET, incluso ha aumentado su actividad en los meses de marzo y especialmente de abril. En estos meses las detecciones se multiplicaron por 100, con un crecimiento de más del 11.000% durante los cuatro primeros meses del año en comparación con el último trimestre del pasado año.

Emotet malware Chrome robo datos tarjeta crédito ESET noticia bit life media

Japón, Italia y México serían los países en los que este malware está intensificando su actividad.

No obstante, algunos investigadores sugieren que las últimas campañas de Emotet, a través de archivos LNK y XLL, han sido más pequeñas que las distribuidas el pasado mes de marzo a través de archivos DOC.

Pero esto no significa que la actividad de este malware esté disminuyendo, sino que podrían estar probando nuevos vectores de distribución que podrían reemplazar las macros VBA ahora deshabilitadas por defecto.

Ahora, la detección de Emotet para robar los datos de tarjetas de crédito guardados en Chrome coincide con un nuevo descubrimiento de CyberArk.

Los investigadores de la compañía han hallado una nueva técnica para extraer credenciales de texto sin formato directamente de la memoria en los navegadores web basados en Chromium, la base de código abierto para desarrollar un navegador web.

De esta forma, los datos de credenciales se almacenan en la memoria de Chrome en formato de texto sin formato, así como aquellos datos que se introducen al iniciar sesión en aplicaciones web específicas.

Con ello, un atacante puede hacer que el navegador cargue en la memoria todas las contraseñas almacenadas en el gestor de contraseñas.

Esto también incluye información relacionada con las cookies, como las cookies de sesión, lo que podría permitir que un atacante extraiga la información y la use para secuestrar las cuentas de los usuarios, incluso cuando están protegidos por autenticación multifactor.

 

DEJA UNA RESPUESTA

Por favor, introduce tu comentario
Por favor, introduce tu nombre

1 × 5 =