El -ya famoso- malware Emotet ha recurrido a implementar un nuevo módulo diseñado para desviar la información de la tarjeta de crédito almacenada en el navegador web Chrome.
El ladrón de tarjetas de crédito, que identifica exclusivamente a Chrome, tiene la capacidad de filtrar la información recopilada a diferentes servidores remotos de comando y control (C2), según la empresa de seguridad empresarial Proofpoint, que observó el componente el 6 de junio.
El desarrollo se produce en medio de un aumento en la actividad de Emotet desde que resucitó a fines del año pasado luego de una pausa de 10 meses a raíz de una operación policial que eliminó su infraestructura de ataque en enero de 2021.
Emotet, atribuido a un actor de amenazas conocido como TA542 (también conocido como Mummy Spider o Gold Crestwood), es un troyano avanzado, modular y de autopropagación que se envía a través de campañas de correo electrónico y se utiliza como distribuidor de otras cargas útiles, como ransomware.
A partir de abril de 2022, Emotet sigue siendo el malware más popular con un impacto global del 6 % de las organizaciones en todo el mundo, seguido de Formbook y Agent Tesla, según Check Point, y el malware prueba nuevos métodos de entrega mediante URL de OneDrive y PowerShell en .LNK. archivos adjuntos para sortear las restricciones de macros de Microsoft.
El crecimiento constante de las amenazas relacionadas con Emotet se confirma aún más por el hecho de que la cantidad de correos electrónicos de phishing, a menudo secuestrando correspondencia ya existente, aumentó de 3000 en febrero de 2022 a aproximadamente 30 000 en marzo dirigidos a organizaciones en varios países como parte de una escala masiva campaña de spam.
Algunos de los objetivos comunes desde la resurrección de la botnet han sido Japón, Italia y México, señaló la compañía de ciberseguridad eslovaca, y agregó que la ola más grande se registró el 16 de marzo de 2022.
«El tamaño de las últimas campañas LNK y XLL de Emotet fue significativamente menor que las distribuidas a través de archivos DOC comprometidos vistos en marzo», dijo Dušan Lacika, ingeniero de detección senior de Dušan Lacika.
«Esto sugiere que los operadores solo están utilizando una fracción del potencial de la botnet mientras prueban nuevos vectores de distribución que podrían reemplazar las macros VBA ahora deshabilitadas por defecto».
Los hallazgos también surgen cuando los investigadores de CyberArk demostraron una nueva técnica para extraer credenciales de texto sin formato directamente de la memoria en los navegadores web basados en Chromium.
