McAfee ClickProtect habría infectado a sus usuarios con el troyano Emotet

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Según un investigador francés, el reconocido proveedor de antivirus McAfee envió un archivo cargado con el malware de la banca Emotet a clientes que utilizan su servicio antipiratería llamado servicio de protección de correo electrónico ClickProtect.

Aunque el malware Emotet se alojó en un sitio web de un tercero, se compartió a través de un dominio que estaba vinculado con el proyecto.

Irónicamente, McAfee comercializó el servicio antipiratería como una solución infalible para proteger el negocio de ser pirateado.

El objetivo de ClickProtect era evitar que los usuarios sufrieran ataques de phishing, sitios web infectados y malware.

Los usuarios de McAfee ClickProtect que fueron infectados erróneamente comprometieron sus computadoras con peligroso troyano bancario Emotet.

Resultado de exploración ClickProtect

El investigador con sede en París que usa el alias Benkow descubrió el malware, y lo informó a través de Twitter, donde explicó que ClickProtect reescribe todos los enlaces web en un mensaje de correo electrónico con el que usa el dominio “cp.mcafee.com” y luego esto, analiza el enlace para verificar si es malicioso o seguro.

El enlace se escanea cada vez que alguien hace clic en él

Emotet es un peligroso malware bancario que obtiene información financiera de un usuario simplemente al inyectar códigos maliciosos en la red de la computadora, y se entrega a través de URL infectadas. Los atacantes ocultan estos enlaces maliciosos en correos electrónicos, archivos de Word y archivos PDF.

Emotet se distribuye ampliamente a través de “campañas de correspondencia múltiple” que contienen enlaces a sitios web infectados que alojan un documento malicioso de Word.

Cuando un usuario abre este archivo, desencadena las macros y se descarga el binario de malware Emotet.

El malware utiliza el script de PowerShell para obtener información adicional.

Una evaluación posterior reveló que esto no es una ocurrencia nueva porque anteriormente el administrador de Salesforce.com observó problemas similares hace unos años.

Esto muestra que el malware se ha actualizado varias veces en los últimos años para que sea lo suficientemente potente como para evitar la detección.

Aparentemente, este malware se usa como cuentagotas para propagar otro malware bancario llamado IcedID.

Después de instalarse, el malware obtiene información, como números de tarjetas y contraseñas, que se utilizan para piratear las cuentas de los usuarios y transferir su dinero en línea.

También puede piratear el centro de C & C de una computadora comprometida y usar direcciones IP codificadas para generar proxies y prevenir la detección.

 

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris