Emotet es una de las redes de bots más grande de Internet. Capaz de enviar cientos de miles de correos SPAM al día infectados con malware, la botnet se ha convertido en una de las más peligrosas actualmente activa. Pero tiene un problema inesperado, alguien se ha infiltrado en su sistema y está sustituyendo el malware que envían por simples GIFs.
Algo similar vimos en enero de este mismo año, cuando un sujeto desconocido comenzó a eliminar el malware Phorpiex de PCs infectados. El cazador cazado. Generalmente estas curiosas situaciones se dan cuando grupos rivales de hackers pelean entre sí o cuando algún experto en seguridad decide tomarse la justicia por su cuenta.
Hackeando al hacker
Para entender qué ha ocurrido primero debemos entender cómo funciona Emotet. Esta botnet se infiltra en páginas web disponibles en Internet y modifica los archivos de sus servidores para colocar su propio malware. De este modo, cuando el usuario descarga algo de estas webs aparentemente limpias, queda infectado.
Para conseguir infiltrarse en los servidores de webs de terceros Emotet utiliza scripts de código abierto que se pueden encontrar en GitHub u otras plataformas, por lo tanto ahí ya hay una vulnerabilidad a explotar, ya que permite a otros conocer mejor cómo se infiltra Emotet en webs de terceros. Pero hay más, según recoge ZDNet, se descubrió que Emotet utiliza una misma contraseña para la mayoría de webs en las que se infiltra. Esto parece haber sido clave para que hayan sido cazados.
Todo indica que alguien ha descubierto recientemente la contraseña que utiliza Emotet y ha entrado en su infraestructura con la que despliegan los ataques. Y se lo está pasando bien, en los últimos días ha modificado varias veces el malware que Emotet coloca por simples GIFs. El resultado es que cuando una víctima descarga el supuesto malware de Emotet, lo que en realidad descarga es un GIF que no daña su dispositivo. El último es 'hackerman' de 'Kung Fury':
Para Emotet el resultado no es tan bueno, según Cryptolaemus, un grupo de seguridad que analiza a Emotet, la botnet a reducido su actividad a aproximadamente el 25% en estos últimos días debido a las complicaciones para lidiar con su propio hackeo. Cuando descubren que les han cambiado el malware por un GIF rápidamente lo sustituyen de nuevo por el malware. Pero claro, esto no impide que quien les haya hackeado vuelva a cambiarlo por otro GIF.
Vía | ZDNet
Ver todos los comentarios en https://www.xataka.com
VER 6 Comentarios