Desde principios de esta semana venimos observando una campaña de propagación de correos dirigidos principalmente a empresas que guarda ciertas similitudes con las perpetradas por Emotet. Para empezar, el email se envía desde un dominio corporativo de otra empresa, lo que indica que o bien están suplantando su identidad o, directamente, han comprometido algunos buzones de correos y están enviando estos correos a sus contactos.
Los correos detectados suelen tener un formato sencillo, con un asunto que llame la atención, un cuerpo del mensaje muy breve y un enlace donde supuestamente se pueden encontrar los documentos mencionados.
El enlace adjunto pertenece a una web de noticias de Indonesia que cuenta con buena reputación por lo que es difícil que los filtros encargados de bloquear enlaces potencialmente peligrosos la bloqueen. No obstante, los delincuentes detrás de esta campaña han conseguido comprometer la seguridad de este sitio web y la están utilizando para alojar malware, por lo que al conectarnos a esa URL se solicitará la descarga de un archivo en formato ZIP.
Si echamos un vistazo al contenido de este archivo comprimido veremos como contiene un fichero de Excel, por lo que no pocos usuarios pueden pensar que se trata de un documento legítimo. En este punto debemos recordar que el malware no solo se puede encontrar en ficheros ejecutables, sino que, desde hace tiempo, los delincuentes utilizan todo tipo de formatos para propagar sus amenazas, entre las que se incluyen documentos ofimáticos como los de Excel y Word.
