El malware Emotet cambia de estrategia y ahora se distribuye utilizando archivos adjuntos de correo electrónico de Microsoft OneNote. El objetivo no es otro que el eludir las restricciones de seguridad de Microsoft e infectar a más objetivos.
La popular botnet Emotet se ha propagado tradicionalmente utilizando archivos adjuntos en correos electrónicos de Microsoft Word y Excel. Ahora, debido a que Microsoft ha deshabilitado las macros de forma predeterminada, Emotet está empezando a distribuirse a través de archivos de OneNote.
De esta forma, si un usuario abre el archivo adjunto y habilita las macros, se descargará y ejecutará una DLL que instala el malware Emotet en el dispositivo. Una vez cargado, el malware robará contactos de correo electrónico y contenido para usarlo en futuras campañas de spam.
También descargará otras cargas útiles que ofrecen a los ciberdelincuentes acceso inicial a la red corporativa. Este acceso se utiliza para realizar ciberataques como de ransomware, robo de datos, ciberespionaje y extorsión.
Si bien Emotet fue uno de los programas maliciosos más distribuidos en los últimos años, el pasado 2022 descendía su actividad y se detectaba en algunas campañas puntuales. Después de tres meses de inactividad a finales del pasado año, Emotet se volvió a activar repentinamente detectándose en campañas de correos electrónicos maliciosos en todo el mundo a principios de este mes.
Sin embargo, esta campaña empezó con algunos errores ya que siguió utilizando documentos de Word y Excel con macros. Como Microsoft ahora bloquea automáticamente las macros en los documentos en estos formatos, incluidos los adjuntos a los correos electrónicos, esta campaña solo infectaría a unas pocas personas.
Como consecuencia, Emotet apuesta ahora por OneNote para la distribución de malware.
Emotet cambia de estrategia
El uso de archivos adjuntos maliciosos de Microsoft OneNote por parte de Emotet se propagan a través del correo electrónico simulando ser guías, procedimientos, facturas, o asuntos laborales, entre otros.
Los ciberdelincuentes adjuntan a los emails documentos de Microsoft OneNote que muestran un mensaje que indica que el documento está protegido. Luego piden al usuario que haga doble clic en el botón ‘Ver’ para mostrar el documento correctamente.
Microsoft OneNote permite crear documentos que contienen elementos de diseño que se superponen a un documento incrustado. Sin embargo, cuando el usuario hace doble clic en la ubicación donde se encuentra ese archivo, incluso si hay un elemento de diseño sobre él, se inicia el archivo.
En esta campaña de malware Emotet, los ciberdelincuentes ocultan un archivo VBScript malicioso llamado ‘click.wsf’ debajo del botón «Ver».
Este VBScript contiene un script que descarga una DLL de un sitio web remoto, probablemente comprometido, y luego la ejecuta. Si bien Microsoft mostrará una advertencia cuando un usuario intente iniciar un archivo incrustado en OneNote, los ciberdelincuentes cuentan con que los usuarios suelen hacer clic en la opción «Aceptar», descartando la alerta.
Cuando esto ocurre, el archivo VBScript click.wsf incrustado se ejecuta mediante WScript.exe de la carpeta Temp de OneNote, que probablemente será diferente para cada usuario:
«%Temp%\OneNote\16.0\Exportado\{E2124F1B-FFEA-4F6E-AD1C-F70780DF3667}\NT\0\click.wsf»
Luego, el script descarga el malware Emotet como una DLL y lo almacenará en la misma carpeta temporal para lanzar después la DLL con nombre aleatorio usando regsvr32.exe. De esta forma, Emotet se ejecuta silenciosamente en el dispositivo, robando correo electrónico, contactos y esperando más órdenes del servidor de comando y control en manos de los ciberdelincuentes.
Estas cargas útiles permiten a los ciberdelincuentes acceder al dispositivo y usarlo como trampolín para expandirse más en la red.
Bloqueo de documentos maliciosos de Microsoft OneNote
Microsoft OneNote se ha convertido en un problema masivo de distribución de malware, ya que están empezando a proliferar las campañas de malware que utilizan estos archivos adjuntos.
Como consecuencia Microsoft está trabajando en la mejora de la protección en OneNote contra documentos de phishing. Mientras, los administradores de Windows pueden configurar políticas de grupo para protegerse contra archivos maliciosos de Microsoft OneNote.
De esta forma, pueden usar estas políticas para bloquear archivos incrustados en Microsoft OneNote o especificar extensiones de archivo específicas cuya ejecución debería bloquearse.