TA542, el ciberdelincuente Nexus sospechoso de ejecutar la botnet Emotet, parece haber utilizado un tiempo de inactividad reciente para probar algunas funciones nuevas que podrían indicar que el grupo está cambiando sus tácticas, técnicas y procedimientos y probablemente tratando de eludir esta es una actualización reciente de Microsoft que , según información de Proofpoint, bloquea las macros web por defecto.
A pesar de la incautación de los servidores de Emotet en enero de 2021 y las posteriores purgas policiales de la botnet maliciosa, TA542, también derivada de Mummy Spider, la revivió en noviembre pasado.
Desde entonces, la botnet revivida se ha dirigido a miles de organizaciones con decenas de miles de mensajes de phishing en una campaña que alcanzó su punto máximo en la primera y tercera semana de marzo.
Sin embargo, se ha vuelto común entre los ciberdelincuentes tomar descansos durante las vacaciones importantes y, tal como estaba previsto, este alto nivel de actividad disminuyó brevemente a principios de abril y continuó durante las vacaciones de Semana Santa.
Fue durante las vacaciones de Semana Santa, dijo Proofpoint, cuando sus analistas observaron un comportamiento atípico de Emotet, y el vicepresidente de investigación y detección de amenazas de la empresa, Sherrod DeGrippo, sugirió dos posibles teorías sobre el motivo.
«Después de meses de actividad constante, Emotet está cambiando las cosas», dijo. “Es probable que el actor de amenazas pruebe nuevos comportamientos a pequeña escala antes de implementarlos en las víctimas a mayor escala, o difundirlos a través de nuevos TTP junto con sus campañas de gran volumen existentes. Las organizaciones deben estar al tanto de las nuevas técnicas y asegurarse de implementar las mitigaciones apropiadas”.
La actividad tomó la forma de una pequeña cantidad de correos electrónicos no deseados distribuidos por Emotet desde direcciones de correo electrónico comprometidas y no desde el motor de correo no deseado de Emotet. Estos correos electrónicos tenían líneas de asunto simples, generalmente una palabra, y el cuerpo no contenía nada más que una URL de OneDrive. Esa URL, a su vez, alojaba un archivo ZIP, etiquetado con el mismo señuelo que el asunto del correo electrónico, que contenía un archivo (o archivos) de Microsoft Excel Add-In (XLL) que, cuando se ejecuta, Emotet a través de Epoch 4. red de bots
Esto difiere de los TTP de Emotet vistos anteriormente debido a su bajo volumen: Emotet tendía a usar campañas de correo electrónico de alto volumen; el uso de OneDrive: generalmente viene a través de un archivo adjunto de Microsoft Office o una URL que apunta a un sitio web comprometido que contiene un archivo de Office corrupto; y el uso de archivos XLL; anteriormente, Emotet se basaba en documentos de Microsoft Excel o Word que contenían macros VBA o XL4.
Los analistas de Proofpoint dijeron que es notable que TA542 explora técnicas que no se basan en documentos habilitados para macros. Es probable que esto se deba a que Microsoft anunció en febrero de 2022 que, a partir de abril, bloquearía de forma predeterminada las macros de Visual Basic para aplicaciones (VBA) de la Internet pública en cinco de sus aplicaciones de Office más utilizadas para mejorar la seguridad de los usuarios finales.
Proofpoint dijo que los actores de amenazas como TA542, que se habían basado en archivos adjuntos habilitados para macros para entregar su malware, generalmente confían en la ingeniería social para convencer a un destinatario de que su contenido es confiable y que debe habilitar macros para mostrarlo. El bloqueo de macros de forma predeterminada hace que esto sea mucho más difícil para ellos, ya que hace que sea mucho más difícil para los usuarios simplemente hacer clic en algo para abrirlo.
Los cambios de Microsoft se aplican a las instalaciones de Office que se ejecutan en computadoras con Windows y se aplicarán a las versiones 2203 y posteriores de Access, Excel, PowerPoint, Visio y Word a través de la vista previa del canal actual antes de una implementación más amplia.
Los analistas dijeron que todavía creen que la actividad se puede atribuir con seguridad a TA542, ya que ha controlado de cerca a Emotet durante toda su vida y es reacio a alquilar sus capacidades a otros grupos.
Más información sobre la campaña, incluidos los Indicadores de Compromiso (IoC), está disponible en Proofpoint.