La botnet de malware Emotet está aprovechando la temporada de impuestos de EE. UU. de 2022 al enviar correos electrónicos maliciosos que fingen ser el Servicio de Impuestos Internos que envía formularios de impuestos o declaraciones federales.
Emotet es una infección de malware que se distribuye a través de correos electrónicos de phishing con documentos adjuntos de Word o Excel que contienen macros maliciosas. Una vez que se abren estos documentos, engañarán al usuario para que habilite macros que descargarán el malware Emotet en la computadora.
Una vez que se instala Emotet, el malware robará los correos electrónicos de las víctimas para usarlos en futuros ataques de cadena de respuesta , enviará más correos electrónicos no deseados y, en última instancia, instalará otro malware que podría provocar un ataque de ransomware Conti en la red comprometida.
Emotet se hace pasar por IRS.gov
En un nuevo informe de la empresa de seguridad de correo electrónico Cofense , los investigadores detectaron varias campañas de phishing que se hacen pasar por el Servicio de Ingresos de Internet (IRS.gov) que utilizan señuelos relacionados con la temporada de impuestos de EE. UU. de 2022.
Estos correos electrónicos pretenden ser el IRS enviando al destinatario su declaración de impuestos de 2021, formularios W-9 y otros documentos fiscales comúnmente requeridos para la temporada de impuestos.
Correo electrónico de phishing que se hace pasar por el IRS
Fuente: Cofense
Si bien los asuntos de los correos electrónicos y el texto de los correos electrónicos temáticos del IRS varían, el atractivo general es que el IRS se comunica con su empresa con formularios de impuestos completos o con los que debe completar y devolverles.
Un ejemplo del texto que se encuentra en uno de estos correos electrónicos es:
Según el informe de Cofense publicado hoy, la campaña de phishing utiliza numerosos asuntos de correo electrónico relacionados con la temporada de impuestos de EE. UU., que incluyen:
Otro correo electrónico de phishing de la temporada de impuestos de Emotet 2022
Fuente: Cofense
Se adjuntan a los correos electrónicos archivos zip o archivos HTML que conducen a archivos zip, que están protegidos con contraseña para que sea más difícil detectarlos mediante pasarelas de correo electrónico seguras.
En las pruebas realizadas por BleepingComputer, el extractor de archivos integrado de Windows no analiza correctamente estos archivos zip, lo que podría causar que la campaña tenga menos impacto.
Sin embargo, los programas de archivo de terceros, como 7-Zip, no tienen problemas para extraer los archivos, como se ve a continuación.
Dentro de los archivos zip hay un archivo de Excel ‘W-9 form.xslm’ que, cuando se abre, solicita al usuario que haga clic en el botón “Habilitar edición” y “Habilitar contenido” para ver el documento correctamente.
Documento de Excel malicioso
Fuente: BleepingComputer
Una vez que un usuario hace clic en estos botones, se ejecutarán macros maliciosas que descargarán e instalarán el malware Emotet de los sitios de WordPress pirateados.
Una vez que se instala Emotet, el malware descargará cargas útiles adicionales, que comúnmente han sido Cobalt Strike en campañas recientes.
Sin embargo, el grupo de investigación de Emotet, Cryptolaemus, también ha visto que Emotet elimina el troyano de acceso remoto SystemBC.
Con Emotet ahora desarrollado por la pandilla Conti Ransomware, todas las organizaciones, grandes y pequeñas, deben estar atentas a estas campañas de phishing, ya que en última instancia conducen a ataques de ransomware y exfiltración de datos.
Como siempre, es vital recordar que el IRS nunca envía correos electrónicos no solicitados y se comunica únicamente a través del servicio postal. Por lo tanto, si recibe un correo electrónico que dice ser del IRS, márquelo como correo no deseado y elimínelo.
