Emotet

Emotet comenzó como un troyano bancario hace unos cinco años, pero se ha convertido en mucho más. Hoy en día, se ha convertido en una de las redes de bots y cuentagotas de malware más peligrosas del mundo. Para monetizar completamente los ataques, Emotet a menudo deja caer nuevos troyanos bancarios, recolectores de correo electrónico, mecanismos de autopropagación, ladrones de información e incluso ransomware.

Los investigadores de seguridad señalaron que los actores de la amenaza detrás de Emotet tomaron unas vacaciones de verano, a partir de junio de 2019, en las que incluso las actividades de comando y control (C2) se detuvieron. Sin embargo, a medida que los meses de verano comenzaron a concluir, los investigadores de seguridad comenzaron a ver un aumento en la actividad de la infraestructura C2 de Emotet. A partir del 16 de septiembre de 2019, Emotet ya está en plena marcha con una campaña de spam revitalizada, que depende de la ingeniería social.

Emotet apunta a usuarios de computadoras a través de atractivas campañas de correo electrónico no deseado

Una de las formas más ingeniosas y amenazantes a través de las cuales Emotet infectó a las víctimas fue a través del contenido robado del correo electrónico. El malware deslizaría la bandeja de entrada de una víctima y copiaría las conversaciones existentes, que luego usará en sus propios correos electrónicos. Emotet citará los cuerpos de los mensajes reales en una "respuesta" al correo electrónico no leído de la víctima, en un intento por engañarlos para que abran un archivo adjunto con malware, generalmente bajo la apariencia de un documento de Microsoft Word.

No se necesita mucha imaginación para ver cómo alguien que espera una respuesta a una conversación en curso podría ser engañado de esta manera. Además, al imitar las conversaciones de correo electrónico existentes, incluidos los contenidos de correo electrónico genuinos y los encabezados de Asunto, los mensajes se vuelven mucho más aleatorios y difíciles de filtrar por sistemas antispam.

Lo interesante es que Emotet no usa el correo electrónico del que robó contenido para enviarlo a una posible víctima. En cambio, envía la conversación levantada a otro bot en la red, que luego envía el correo electrónico desde una ubicación completamente diferente, utilizando un servidor SMTP saliente completamente separado.

Según los investigadores de seguridad, Emotet utilizó conversaciones de correo electrónico robadas en aproximadamente el 8,5 por ciento de los mensajes de ataque antes de su pausa de verano. Sin embargo, dado que la temporada de vacaciones ha llegado a su fin, esta táctica se ha vuelto más prominente y representa casi una cuarta parte de todo el tráfico de correo electrónico saliente de Emotet.

Los ciberdelincuentes aprovechan Emotet para robar datos personales

Las herramientas a disposición de los ciberdelincuentes que buscan robar información personal de las computadoras son prácticamente infinitas. Da la casualidad de que Emotet es un tipo de amenaza de malware que es muy eficaz para aprovechar una forma de lanzar campañas masivas de correo electrónico no deseado que propagan malware diseñado para robar datos de un usuario de computadora desprevenido. La forma en que trabaja Emotet es abrir una puerta trasera para otras amenazas informáticas de alto riesgo, como el troyano Dridex, que está específicamente diseñado para robar datos de un usuario de computadora utilizando técnicas agresivas de phishing.

Cuando lo utiliza el tipo correcto de pirata informático o ciberdelincuente, Emotet se puede utilizar para infiltrarse en una computadora para cargar e instalar múltiples amenazas de malware. Aun así, las amenazas instaladas adicionalmente pueden ser más peligrosas cuando pueden conectarse a servidores de comando y control (C&C) para descargar instrucciones para llevar a cabo en el sistema infectado.

Los efectos de Emotet nunca deben tomarse a la ligera

En cualquier caso de una amenaza de malware de tan largo alcance como Emotet, los usuarios de computadoras deben tomar las precauciones necesarias para evitar un ataque de este tipo. Por otro lado, aquellos que han sido atacados por Emotet querrán encontrar el recurso necesario para detectar y eliminar la amenaza de manera segura. Si se permite que Emotet se ejecute en una computadora durante un largo período de tiempo, el riesgo de que los datos se roben exponencialmente aumenta.

Los usuarios de computadoras que pueden demorar en eliminar Emotet o tomar las precauciones adecuadas pondrán en riesgo sus datos personales almacenados en su PC, lo que podría conducir a problemas graves como el robo de identidad. Además, Emotet es una amenaza difícil de detectar, que es un proceso que se realiza principalmente mediante un recurso o aplicación antimalware actualizado.

En todo momento, los usuarios de computadoras deben tener precaución al abrir correos electrónicos con archivos adjuntos, específicamente aquellos que contienen archivos adjuntos en forma de documentos de Microsoft Word, que se sabe que es un método que Emotet usa para propagar malware.

El regreso de Emotet

En un momento en 2019, los servidores de comando y control de Emotet se cerraron dejando a los sistemas infectados por la amenaza libres de estar bajo el control de los perpetradores detrás de Emotet. Sin embargo, no demasiado pronto después del cierre de los servidores de C&C, Emotet regresó de la muerte donde los piratas informáticos no solo obtuvieron el control de Emotet, sino que están utilizando sitios web legítimos para difundir la amenaza a través de campañas de spam al piratear primero los sitios.

Según los informes, los desarrolladores de Emotet se han dirigido a unas 66,000 direcciones de correo electrónico para más de 30,000 nombres de dominio, muchos de esos dominios que pertenecen a sitios legítimos que fueron pirateados. Algunos de los sitios legítimos atacados por los creadores de Emotet son los siguientes:

• biyunhui [.] com
• broadpeakdefense [.] com
• charosjewellery [.] co.uk
• customernoble [.] com
• holyurbanhotel [.] com
• keikomimura [.] com
• lecairtravels [.] com
• mutlukadinlarakademisi [.] com
• nautcoins [.] com
• taxolabs [.] com
• think1 [.] com

Básicamente, veremos un aumento en las infecciones de malware a medida que pase el tiempo. Como señalaron los investigadores de Cisco Talos: "Cuando un grupo de amenazas queda en silencio, es poco probable que se vayan para siempre", explicando: "Más bien, esto abre la oportunidad para que un grupo de amenazas regrese con nuevos IOC, tácticas, técnicas y procedimientos o nuevas variantes de malware que pueden evitar la detección existente ".

SpyHunter detecta y elimina Emotet

Emotet capturas de pantalla