Emotet, un antiguo troyano bancario reportado por primera vez en el 2014 según MalwareBytes, ha comenzado una nueva campaña de spam que pretende ser una copia escaneada del nuevo libro de Edward Snowden. Los usuarios desprevenidos que abran el archivo adjunto y habiliten su contenido descubrirán que se han infectado con Emotet, probablemente Trickbot también y posiblemente otros malware.
Después de aproximadamente cuatro meses de inactividad, Emotet se despertó nuevamente el 16 de septiembre y desde entonces ha estado arrojando una avalancha de spam. Estos correos electrónicos generalmente pretenden ser facturas, documentos financieros y otros documentos comerciales con archivos adjuntos de Word maliciosos que lo infectan con una variedad de malware.
Como parte de la evolución continua de Emotet, los investigadores de seguridad de Malwarebytes descubrieron una nueva campaña de spam que adopta un enfoque original al pretender ser una copia escaneada adjunta del nuevo libro de Edward Snowden “Registro permanente“. Los investigadores vieron correos electrónicos temáticos de Snowden en inglés, italiano, alemán, francés y español.
Si el destinatario abre el archivo adjunto, entonces se mostrará un mensaje que indica que “Word no se ha activado” y que debe hacer clic en Habilitar edición o Habilitar contenido para continuar. Cómo se muestra a continuación:
Si la víctima hace click en el botón Habilitar contenido, una macro maliciosa lanzará un comando de PowerShell que intenta descargar Emotet desde una de las tres URL incrustadas en el documento.
Si la descarga tiene éxito, el troyano se ejecutará silenciosamente en segundo plano y descargará e instalará otro malware en la computadora de la víctima sin que esta se de cuenta.
Aunque es una recomendación recurrente, nunca abra archivos adjuntos de nadie sin confirmar por teléfono que realmente le enviaron el archivo. También debe tener cuidado de habilitar contenido o macros en cualquier archivo adjunto que reciba.