Nos reporta una universidad del país que ha recibido en los últimos días diversos correos con características que dan a entender un ataque contra ellos.
Afortunadamente el atacante no envía en Castellano el mensaje sino en Catalán. Se entiende bastante pero ya es el primer caso que dá a dudar. Debemos notar que el remitente es una cuenta aparentemente comprometida de un dominio válido a la cual simplemente le agregaron un nombre de la misma universidad.
Con el objetivo de evadir los antivirus envían el adjunto en un .zip cifrado con la contraseña.
Procedimos a abrir, en un ambiente controlado, el .zip y se obtuvo un aparentemente inocente .doc
Este .doc se procedió a enviar a un sandbox de cuckoo y a https://virustotal.com arrojando ambos que es un archivo malicioso que intentará implantar el malspam llamado emotet en un equipo. Este es un troyano bancario que intetará obtener credenciales de acceso a este tipo de instituciones.
Acciones a tomar
Es importante educar a las personas para que no ejecuten este tipo de archivos maliciosos. En el caso de EMOTET, intentará hacer creer a los usuarios que el correo viene de un conocido, por lo que se vuelve particularmente peligroso.
Normalmente existen signos que nos permiten determinar que el correo no es legítimo, como por ejemplo en este caso el verdadero FROM es de un dominio no relacionado con una universidad de Ecuador o que está escrito en otro idioma o está mal traducido.
Se deben revisar contra malware los equipos de la institución. Posiblemente el equipo de alguien esté comprometido: una de las catacterísticas de este troyano es que se replica utilizando las listas de contactos de correo presentes en equipos comprometidos.
Si alguien conoce que fue comprometido por emotet, debe buscar cambiar la clave de acceso a sus bancos. Igualmente la implementación de autenticación multifactor ayuda a evitar accesos no consentidos a las cuentas.
Mayor información:
https://www.incibe.es/protege-tu-empresa/blog/prevencion-y-desinfeccion-del-malware-emotet