Emotet, una botnet aparecida en 2014, está haciendo que las agencias de seguridad de diversos países envíen avisos y alertar en las últimas semanas al apreciarse un aumento de sus ataques. En estos nuevos ataques, este código se dedica a propagar otros malware, con campañas de phishing y spam, entre otras.
Estamos ante un troyano avanzado que se propaga principalmente a través del correo electrónico mediante mensajes tipo phishing o spam que contienen archivos Word adjuntos o enlaces URL. Una vez que se hace clic, se lanza la carga viral y el malware intenta proliferar dentro de la red. Para ello utiliza técnicas como la fuerza bruta de las credenciales de usuario y escribiéndose en unidades compartidas. La complejidad de este malware reside en que se comporta como un gusano para propagarse pero tiene la capacidad de infectar como un troyano y de ser usado como una red de bots.
Además de todo lo anterior, Emotet utiliza una variedad de métodos para mantener las técnicas de persistencia y evasión e intentar así evitar ser detectado en la red, mientras propaga dentro de ella todo tipo de ransomware.
Emotet está diseñado para robar credenciales de inicio de sesión de cuentas de correo electrónico configuradas en sistemas infectados. Las credenciales comprometidas se pasan posteriormente a los robots de spam que envían una gran cantidad de correos electrónicos no deseados para propagar aún más el malware. O pueden robar información que está en el buzón de correo electrónico y usarla para enviar correos desde otro lugar.
En este enlace se pueden consultar todas las técnicas que Emotet utiliza para diferentes propósitos, como el uso de la fuerza bruta de las contraseña de administrador local, emplear una lista codificada de contraseñas para forzar las cuentas de usuario o utilizar cmd.exe para ejecutar un script de PowerShell.
Emotet, un malware canguro de otros malware
Parte de la complejidad de Emotet estriba en que contiene y facilita la infección y propagación de otro tipo de código maligno. Así, en los ataques de estas últimas semanas se está utilizando para instalar otro tipo de malware (como Trickbot y QBot) en los ordenadores y redes que infecta.
Trickbot es un malware que puede no ser detectado por el usuario, pero sí por el administrador de sistemas si observa cambios en el tráfico o intentos de llegar a direcciones IP y dominios que están en la lista negra. El malware se comunica con la infraestructura de control y comando de Trickbot para filtrar datos y recibir tareas.
Según la Agencia de Seguridad Nacional de Estados Unidos, el tráfico a dominios o IP conocidos que están relacionados con Emotet se suele producir a través de los puertos 80, 8080 y 443, aunque también se tiene constancia de que se utilizó el puerto 445.
QBot, por su parte, recopila datos de navegación y roba credenciales bancarias y otra información financiera de las víctimas. Está altamente estructurado, tiene varias capas y se está desarrollando continuamente con nuevas características para ampliar sus capacidades. Una vez que una máquina está infectada, QBot activa un "módulo recolector de correo electrónico" especial que extrae todos los hilos de correo electrónico del cliente Outlook de la víctima y los carga en un servidor remoto codificado. Estos correos electrónicos robados se utilizan para futuras campañas de malspam, lo que facilita que los usuarios sean engañados para que hagan clic en archivos adjuntos infectados porque el correo no deseado parece continuar una conversación de correo electrónico legítima existente.
Tanto Trickbot como QBot pueden usarse para proporcionar acceso a una red para comprometerla, así como para filtrar datos. Además, se suele utilizar para la instalación de algunos ransomware como Ryuk, Maze, Conti o ProLock en dicha red.
Los organismos nacionales de seguridad dan la voz de alarma
Este rebrote de actividad de Emotet está llevando a que diversos organismos nacionales encargados de velar por la seguridad cibernética estén lanzando avisos y advertencias. La última en hacerlo ha sido la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos, quien asegura que desde julio de 2020, ha detectado aproximadamente 16.000 alertas relacionadas con la actividad de Emotet.
Ya en agosto de este año el INCIBE ya avisaba de que se estaba constatando este aumento de su actividad. Las agencias de ciberseguridad en Canadá, Francia, Japón, Nueva Zelanda, Italia y los Países Bajos también han informado sobre picos en la actividad relacionada con Emotet. Incluso la propia Microsoft ha advertido de ello a través de Twitter.
Según la CISA, Emotet es difícil de combatir debido a sus características parecidas a la de los gusanos, que permiten infecciones en toda la red.
Un malware como el Guadiana
Emotet apareció por primera vez como un troyano bancario en 2014. Cuando se identificó, podría decirse que era el típico malware bancario: se difundía a través de spam, los correos electrónicos se presentaban como facturas o detalles de transferencias bancarias para engañar al usuario y que hiciera clic en varios enlaces.
Pero, desde entonces, este malware ha ido perfeccionando aún más en sus técnicas de infección. Ya en 2018 la CISA aseguraba que Emotet era un troyano bancario modular avanzado que funcionaba principalmente como “descargador o cuentagotas de otros troyanos bancarios”.
A lo largo de los años, los investigadores de seguridad han notado que Emotet ha resurgido repetidamente después de períodos de inactividad. Emotet volvió a la vida en septiembre de 2019 y continuó enviando spam malicioso y correos electrónicos de phishing hasta que se quedó en silencio nuevamente en febrero de este año. Sin embargo, como estamos viendo, la red se puso de nuevo en marcha en julio y, desde entonces, mantiene en alerta a los expertos de seguridad..
Emotet ha pasado también por algunas iteraciones. Las primeras versiones llegaron como un archivo JavaScript malicioso. Las versiones posteriores evolucionaron para utilizar documentos habilitados para macros para recuperar la carga útil del virus de los servidores de comando y control ejecutados por los atacantes.
Ver 1 comentarios